A Dashlane divulgou que atores de ameaças conseguiram burlar as proteções de autenticação de dois fatores (2FA) para registrar dispositivos não autorizados e baixar cofres de senhas criptografados pertencentes a menos de 20 usuários do plano pessoal, com uma investigação concluída confirmando que não houve impacto mais amplo em seus sistemas internos.
Descoberta e escopo da ameaça
A partir de domingo, 31 de maio de 2026, um ator de ameaças externo lançou uma campanha de força bruta de alto volume contra contas de usuários da Dashlane. O atacante focou especificamente nos pontos de extremidade da API de registro de dispositivos da plataforma, inundando-os com solicitações automatizadas projetadas para adivinhar os tokens de um único uso de 6 dígitos enviados por e-mail ou gerados por aplicativos de autenticação.
Os controles de segurança automatizados da Dashlane responderam como esperado, acionando bloqueios de conta em contas alvo antes que o ataque fosse totalmente contido. O ator de ameaças explorou o fluxo de registro de dispositivos da Dashlane, que é acionado sempre que um usuário adiciona um novo dispositivo, como um telefone móvel ou computador, à sua conta.
Após a verificação bem-sucedida do 2FA, a Dashlane registra o dispositivo e baixa automaticamente uma cópia do cofre criptografado para esse dispositivo. Ao realizar força bruta em tokens 2FA válidos para um subconjunto de contas, os atacantes foram capazes de completar o fluxo de registro, efetivamente autorizando o dispositivo e baixando cópias de cofres criptografados sem o conhecimento do titular da conta.
Evidências e limites
Menos de 20 usuários do plano pessoal tiveram seus cofres criptografados exfiltrados. Todos os usuários afetados foram notificados diretamente pela Dashlane. Apesar dos downloads de cofres, a Dashlane mantém que os dados roubados permanecem efetivamente inacessíveis. O conteúdo do cofre é protegido pela Senha Mestra do usuário, que nunca é transmitida para os servidores da Dashlane em texto simples e nunca é armazenada, um princípio central da arquitetura de zero conhecimento da Dashlane.
A pilha de criptografia Argon2 + AES-256-CBC + HMAC-SHA256 torna a força bruta da Senha Mestra estatisticamente inviável mesmo em períodos prolongados. Não há evidências de que a infraestrutura interna da Dashlane tenha sido comprometida em nenhum ponto durante o incidente.
Impacto e alcance
O incidente sublinha que mesmo gerenciadores de senhas robustos podem ser alvo na periferia de autenticação em vez da camada de criptografia em si, tornando a configuração forte de 2FA e a higiene da Senha Mestra controles defensivos críticos para todos os usuários. A Dashlane anunciou em 4 de junho de 2026 a conclusão de sua investigação, confirmando nenhum impacto adicional ao cliente.
As etapas de remediação incluíram bloquear tráfego malicioso no nível de rede, reativar contas de usuário suspensas e bloqueadas, implantar camadas adicionais de verificação no fluxo de registro de dispositivos e endurecer as proteções de extremidade da API para detectar e filtrar tráfego malicioso futuro.
Medidas de mitigação recomendadas
Os usuários devem garantir que estejam usando aplicativos de autenticação (como Google Authenticator ou Authy) em vez de códigos por e-mail, que são mais suscetíveis a ataques de força bruta. A revisão regular de dispositivos registrados na conta e a habilitação de notificações de login são essenciais para detectar atividades não autorizadas rapidamente.
Para organizações que utilizam a Dashlane para empresas, a implementação de políticas de senha forte e a educação dos funcionários sobre os riscos de autenticação são fundamentais. A Dashlane recomenda que os usuários alterem suas Senhas Mestras imediatamente após qualquer suspeita de comprometimento.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar as políticas de autenticação de seus usuários e garantir que o 2FA seja obrigatório e baseado em aplicativos, não em e-mail. A monitoração de tentativas de login falhas e o bloqueio de contas após múltiplas tentativas são medidas proativas que podem prevenir ataques de força bruta.
A colaboração com provedores de serviços de identidade e a participação em comunidades de inteligência de ameaças podem ajudar a antecipar e mitigar futuras campanhas contra gerenciadores de senhas.
Perguntas frequentes
Meus dados foram roubados? Os cofres foram baixados, mas o conteúdo permanece criptografado e inacessível sem a Senha Mestra.
Como proteger minha conta? Use autenticação baseada em aplicativo, não por e-mail, e monitore dispositivos registrados.
Devo alterar minha senha? Sim, altere sua Senha Mestra imediatamente se suspeitar de qualquer atividade suspeita.