Dashlane'de Güvenlik Açığı: Bazı Kullanıcıların Şifre Kasaları Çalındı

Popüler şifre yöneticisi uygulaması Dashlane, hafta sonu gerçekleşen bir siber saldırı sonucunda müşterilerine ait şifrelerin saklandığı en az bir düzine şifrelenmiş kasanın saldırganların eline geçtiğini duyurdu. Şirket tarafından yapılan resmi açıklamada, hackerların sistemdeki iki faktörlü kimlik doğrulama (2FA) mekanizmasını "brute-force" (kaba kuvvet) yöntemiyle aşarak yaklaşık 20 müşteri hesabına yetkisiz erişim sağladığı belirtildi.

Saldırganlar, iki faktörlü doğrulama sistemini devre dışı bırakmayı başardıktan sonra, müşterilerin şifrelerini ve diğer hassas kimlik bilgilerini içeren şifrelenmiş kasaların kopyalarını indirmeyi başardılar. Dashlane, olayla ilgili yayınladığı bilgilendirme sayfasında, şirketin kendi ana sistemlerinin ele geçirildiğine dair herhangi bir kanıt bulunmadığını vurguladı. Ancak, hackerların 2FA korumalarını tam olarak nasıl aşabildiği konusundaki teknik detaylar henüz kamuoyuyla paylaşılmadı.

Normal şartlarda iki faktörlü doğrulama, sadece kullanıcı adı ve şifrenin çalınması durumunda hesabın ele geçirilmesini önleyen, genellikle hesap sahibinin telefonuna gönderilen ek bir kod gerektiren kritik bir güvenlik katmanıdır. Dashlane, saldırının temel amacının 2FA korumalarını brute-force yöntemiyle kırarak, mevcut kullanıcı hesaplarına yeni cihazlar tanımlamak olduğunu açıkladı.

Söz konusu saldırı yönteminde hackerların, otomatik yazılımlar kullanarak sistemdeki tüm olası sayısal kombinasyonları hızla denediği ve kısa süreli güvenlik kodu sona ermeden önce doğru diziyi tahmin etmeye çalıştığı ifade edildi. Şirket, benzer olayların gelecekte tekrarlanmaması için "gerekli önlemlerin alındığını" belirtse de, bu önlemlerin neler olduğu konusunda detay vermedi.

Saldırıdan etkilenen ve şifreli kasaları çalınan yaklaşık 20 müşteriye Dashlane tarafından bilgilendirme yapıldı. Ancak, bu müşterilerin rastgele mi seçildiği yoksa meslekleri veya kimlikleri nedeniyle özel olarak mı hedef alındıkları henüz netlik kazanmış değil. Şirket sözcüleri konuyla ilgili ek yorum taleplerine yanıt vermezken, saldırganların kimliği veya herhangi bir fidye talebinde bulunup bulunmadıkları hakkında da bilgi paylaşılmadı.

Güvenlik açısından kritik bir nokta olarak, çalınan kasaların karmaşık bir şekilde şifrelenmiş olduğu ve müşterinin "ana şifresi" (master password) olmadan okunamaz olduğu belirtildi. Dashlane, ana şifrelerin düz metin olarak sunucularında saklanmadığını ve sadece kullanıcı tarafından bilindiğini hatırlattı. Buna rağmen şirket, kolay tahmin edilebilir ana şifreler kullanan müşterilerin, kasalarının şifresinin çözülmesi riskine karşı çok daha savunmasız olduğu konusunda önemli bir uyarıda bulundu.

Şifre yöneticisi şirketlerini hedef alan veri ihlalleri nadir görülse de, sonuçları genellikle yıkıcı olabiliyor. Benzer bir durum 2022 yılında LastPass'te yaşanmıştı. LastPass, müşteri kasalarının yedeklerinin çalındığını onaylamış ve özellikle eski müşterilerin zayıf şifre gereksinimleri nedeniyle birçok kasanın brute-force yöntemiyle kolayca açıldığı ortaya çıkmıştı. Bu olay sonrası, çalınan kasalardaki özel anahtarlar kullanılarak birçok kullanıcının kripto varlıklarının çalındığı rapor edilmişti.

Sektördeki güvenlik zafiyetleri bunlarla da sınırlı değil. Bir yıl önce Avustralyalı yazılım evi Click Studios, amiral gemisi şifre yöneticisi Passwordstate kullanıcılarını tüm kimlik bilgilerini sıfırlamaya çağırmıştı. Hackerların, yazılım güncelleme mekanizmasını manipüle ederek müşteri sistemlerine kötü amaçlı yazılım yerleştirdiği tespit edilmişti. Bu tür olaylar, en güvenli kabul edilen şifre yönetim araçlarının bile hedef haline gelebileceğini bir kez daha kanıtlıyor.