密码管理器制造商Dashlane表示，在一次周末网络攻击中，黑客获得了至少十二个用于存储客户密码的加密库。该公司在其网站上表示，黑客通过暴力破解公司的双重身份验证系统，获得了大约20个客户账户的访问权限。通过击败其双重身份验证机制，黑客能够下载某些客户的加密库的副本，这些库存储着他们的密码和其他敏感凭证。Dashlane在其事件页面上表示，没有证据表明其自身系统受到损害，但尚未说明黑客是如何能够击败其双重保护以访问客户账户的。双重身份验证是一种安全功能，可以保护账户不被仅凭盗取的用户名和密码访问，通常要求发送额外的密码到账户持有人的手机。“攻击的目标是暴力破解双重身份验证（2FA）保护，以允许攻击者在现有用户账户上注册新设备，”Dashlane表示。该公司表示，攻击者可以使用自动化软件“快速提交所有可能的数字组合到系统中，希望在短暂的[双重]安全代码过期之前猜出确切的序列。”该公司表示，它“已经采取措施降低未来事件的风险”，但没有说明具体措施。Dashlane表示，已通知大约20名其加密库被盗的客户。尚不清楚是否是针对特定客户进行有针对性的攻击，例如基于他们的身份或职业。Dashlane的发言人没有回应评论请求。该公司没有说明是否知晓谁针对了其客户，或黑客是否与Dashlane联系以提出要求，如赎金。被盗的密码库是加密的，没有客户的主密码无法被读取，该主密码仅为客户所知，且不会以明文上传至Dashlane，公司的官网表示。但Dashlane表示，使用容易被猜测的主密码的客户可能更面临被破解和密码库被解密的风险。影响密码管理公司数据泄露事件相对较少，但可能会带来持久的后果。2022年，LastPass确认在一次网络攻击中客户的密码库备份被盗。虽然这些库受到了仅客户知晓的密码保护，但早期客户的密码要求远低于后来的标准，允许黑客通过暴力破解轻松猜测一些客户库的密码。还有多份报告指出，黑客可能通过使用保存在被盗LastPass库中的私钥盗取大量客户的加密货币，这些私钥在泄露后其主密码被破解。一年前，澳大利亚软件公司Click Studios在黑客破坏其软件更新机制以在客户系统上植入恶意软件后，警告所有使用其旗舰密码管理器Passwordstate的客户“重置所有凭证”。通过本文中的链接进行购买时，我们可能会获得小额佣金。这不会影响我们的编辑独立性。扎克·惠特克是TechCrunch的安全编辑。他还担当每周网络安全通讯《本周安全》的作者。您可以通过加密消息在Signal上连接他，用户名是zackwhittaker.1337。您也可以通过电子邮件与他联系，或者通过zack.whittaker@techcrunch.com验证联系方式。 查看简历