Dashlane сообщила о краже 20 зашифрованных хранилищ паролей — и запутала всех

Популярный менеджер паролей Dashlane опубликовал в понедельник уведомление безопасности: злоумышленники похитили 20 зашифрованных пользовательских хранилищ. Компания описала произошедшее как брутфорс-атаку на двухфакторную аутентификацию — однако само объяснение вызвало волну скептицизма среди специалистов по информационной безопасности и рядовых пользователей.

Что произошло по версии Dashlane

Согласно официальному заявлению, 31 мая 2026 года некий внешний субъект начал атаку методом перебора против ряда аккаунтов Dashlane. Цель — взломать защиту двухфакторной аутентификации, чтобы зарегистрировать новые устройства на уже существующих учётных записях. Именно через эти устройства атакующие предположительно и получили доступ к зашифрованным хранилищам.

Пользователи, получившие запросы 2FA в воскресенье, обратились в поддержку Dashlane — и не получили никаких внятных объяснений. Один из них, клиент из Великобритании, рассказал изданию Ars Technica, что узнал о произошедшем не от самой компании, а из обсуждений в сообществе infosec на Mastodon.

««Как вообще можно инициировать запрос 2FA, если у тебя нет пароля? Как платящий клиент, я считаю, что должен был узнать об этом от Dashlane, а не от людей из Mastodon», — написал пользователь.»

Почему объяснение не сходится

Здесь и начинается главная проблема. Стандартный одноразовый код 2FA — это шестизначное число, то есть 1 миллион возможных комбинаций. Коды меняются каждые 45–60 секунд, хотя, судя по скриншоту уведомления, в данном случае код оставался действительным три часа. Это расширяет окно для атаки, но принципиально задачу не упрощает.

Чтобы успешно подобрать код брутфорсом за три часа, атакующему потребовалось бы отправить статистически значимую долю от миллиона комбинаций — то есть десятки или сотни тысяч запросов в час на каждый аккаунт. Такая нагрузка на серверы Dashlane была бы практически невозможна без немедленной реакции систем защиты.

Сама Dashlane косвенно подтверждает, что защитные механизмы сработали: в уведомлении сказано, что «из-за высокого объёма попыток системы безопасности автоматически заблокировали атакованные аккаунты». Однако компания не уточняет, применялось ли ограничение на количество попыток (rate limiting). Если оно было — брутфорс 2FA в принципе невозможен в том виде, в каком его описывает Dashlane.

Логика подсказывает более вероятный сценарий: атакующие уже располагали паролями от части аккаунтов — возможно, из ранее утёкших баз данных — и использовали брутфорс именно для обхода второго фактора, а не для угадывания основного пароля. Но Dashlane этого прямо не говорит, что и порождает путаницу.

Зашифрованные хранилища: насколько это опасно

Важный нюанс: похищенные хранилища зашифрованы. Это означает, что без мастер-пароля пользователя злоумышленник не сможет прочитать содержимое — логины, пароли, данные карт. Dashlane использует архитектуру с нулевым знанием (zero-knowledge), при которой ключи шифрования не хранятся на серверах компании.

Тем не менее сам факт кражи хранилищ — тревожный сигнал. Атакующие могут предпринять офлайн-атаку на мастер-пароль, особенно если он слабый или повторно используется в других сервисах. Пользователям, чьи аккаунты были заблокированы или кто получал подозрительные 2FA-запросы 31 мая, стоит сменить мастер-пароль и проверить список доверенных устройств.

Что это значит для пользователей менеджеров паролей

Инцидент с Dashlane — напоминание о том, что менеджеры паролей, при всей своей полезности, сами являются высокоценными целями для атак. Аналогичная ситуация уже случалась с LastPass в 2022 году, когда злоумышленники также похитили зашифрованные хранилища.

Для белорусских IT-специалистов и предпринимателей, работающих с корпоративными аккаунтами через менеджеры паролей, ситуация актуальна: многие компании в ПВТ и за его пределами используют Dashlane или аналоги для управления доступами к облачным сервисам, CI/CD-системам и финансовым инструментам. Корпоративные хранилища в таких случаях содержат не просто личные пароли, а критические ключи инфраструктуры.

Практические рекомендации просты: использовать уникальный и длинный мастер-пароль, включить аппаратный ключ безопасности (FIDO2/WebAuthn) вместо SMS или TOTP там, где это возможно, и регулярно проверять список авторизованных устройств в настройках аккаунта. Прозрачность со стороны Dashlane в данном случае оставляет желать лучшего — но базовая гигиена безопасности остаётся ответственностью самого пользователя.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.