Dashlane hatte ein hartes Wochenende. Der beliebte Passwort-Manager hat eine Reihe von Kundenkonten gesperrt, nachdem aWelle von Brute-Force-Angriffentraf seine Plattform und löste automatische Sicherheitsreaktionen über mehrere Benutzerprofile hinweg aus.
Das Unternehmen gab das genaue Ausmaß des Angriffs nicht bekannt, aber zahlreiche Benutzer überschwemmten die sozialen Medien mit Fragen, nachdem sie unerwartet E-Mails zur Kontosperrung erhalten hatten.
Angreifer zielen mit Geräteregistrierungsversuchen auf Dashlane-Benutzer ab
Die Sperr-E-Mails vermittelten den Kunden ein klares Bild davon, was passiert ist. Laut Dashlane hatte jemand versucht, ein neues Gerät auf den betroffenen Konten zu registrieren und dabei wiederholt das falsche Authentifizierungstoken eingegeben. Das Unternehmen hat diese Konten vorsorglich gesperrt und jede E-Mail enthielt Anweisungen zur Kontaktaufnahme mit dem Kundendienst und zur Wiederherstellung des Zugriffs.
Die Angriffe begannen am Sonntagnachmittag. Das Dashlane-Team machte sich sofort an die Arbeit und die Statusseite des Unternehmens bestätigte später, dass das Team seine Untersuchung am Sonntagabend abgeschlossen und dabei alle betroffenen Konten wiederhergestellt hatte. Dashlane veröffentlichte außerdem eine Erklärung an die Nutzer in den sozialen Medien, in der bestätigt wurde, dass während des Vorfalls keine internen Systeme in irgendeiner Form kompromittiert wurden.
Am Montag gab es ein Update auf der Statusseite. Dashlane wiederholte die gleiche Erklärung vom Vortag, änderte jedoch die Bezeichnung des Vorfalls von „gelöst“ in „überwacht“ und signalisierte damit, dass das Unternehmen noch nicht ganz davon überzeugt war, dass die Bedrohung vorüber war.
Anmeldeversuche wurden auf Korea und Russland zurückgeführt
Die Nutzer blieben nicht ruhig. Mehrere von ihnen gaben an, Benachrichtigungen über unbefugte Anmeldeversuche auf ihren Konten erhalten zu haben, wobei Korea und Russland als häufigste Quellen genannt wurden. Dashlane hat nicht gesagt, ob einer dieser Versuche tatsächlich zu einem Kundenkonto gelangt ist.
Die Angriffe beeinträchtigten auch den Zwei-Faktor-Authentifizierungsdienst von Dashlane. Einige Benutzer versuchten während des Vorfalls, ihre 2FA-Einmalpasswörter abzurufen und erhielten stattdessen Fehlermeldungen. Für eine Plattform, die speziell für die Sicherheit von Anmeldedaten entwickelt wurde, war ein Ausfall des 2FA-Systems auf dem Höhepunkt eines aktiven Angriffs eine erhebliche Frustration.
Auch Authentifizierung und Privatsphäre stehen im MittelpunktKanadas Gesetzentwurf C-22. Die Gesetzgebung würde der Polizei neue Überwachungsbefugnisse verleihen und Bedenken hinsichtlich der Privatsphäre der Benutzer und des Datenzugriffs auslösen.
Für das Technikteam von Dashlane dauerte die Störung bis zum Wochenende. Eine aktive Brute-Force-Kampagne an einem Sonntagnachmittag zu erkennen und darauf zu reagieren, ist keine ideale Situation. Es erzwang schnelles Handeln, um den Schaden einzudämmen, bevor sich der Angriff weiter ausbreiten konnte.
Benutzer bezweifeln das Schweigen des Unternehmens und die verdächtigen E-Mails
Der Vorfall stieß weit über die technische Störung hinaus auf Kritik. Viele Benutzer wehrten sich gegen Dashlane, weil dieser die öffentliche Kommunikation auf ein Minimum beschränkte. Das Unternehmen beschränkte seine Reaktion auf direkte E-Mails zur Kontosperrung und individuelle Antworten in sozialen Medien. Es wurde keine breite öffentliche Stellungnahme über einen gut sichtbaren Kanal veröffentlicht.
Dieses Schweigen machte alles noch schlimmer. Eine Reihe von Benutzern, die die Sperr-E-Mails erhielten, fragten sich, ob es sich bei den Nachrichten um einen Phishing-Versuch und nicht um eine legitime Benachrichtigung von Dashlane handelte. Der Zeitpunkt machte den Verdacht verständlich. Ein sicherheitsorientiertes Unternehmen, das während eines aktiven Angriffs unerwartete E-Mails sendet, ist genau das Szenario, das Kriminelle nachzuahmen versuchen.
Die E-Mails zeigten jedoch keines der klassischen Phishing-Warnzeichen. Sie enthielten keine verdächtigen Links, keine Anhänge und stammten direkt von einer verifizierten Dashlane-Domain. Dennoch war in den E-Mails ein veraltetes Dashlane-Logo zu sehen, und dieses kleine Detail ließ einige Kunden noch mehr zweifeln. Eine offizielle Mitteilung mit altem Branding während einer aktiven Sicherheitsveranstaltung reichte aus, um für Aufsehen zu sorgen.
Die Reaktion von Dashlane auf diesen Vorfall wirft eine bekannte Herausforderung auf den Tisch. Ein Passwort-Manager speichert den Zugriff auf nahezu jedes Konto, das ein Benutzer besitzt. Wenn diese Plattform einer Bedrohung ausgesetzt ist, ist eine klare und schnelle Kommunikation genauso wichtig wie die technische Lösung. Benutzer brauchten nicht nur ihre Konten zurück. Sie brauchten Antworten, und Dashlane gab sie nur langsam öffentlich bekannt.