Angriff über die Geräteregistrierung
Am Wochenende des 31. Mai 2026 wurde Dashlane Opfer eines Brute-Force-Angriffs auf das Zwei-Faktor-Authentifizierungssystem zur Registrierung neuer Geräte. Die Angreifer zielten auf API-Endpunkte für die Geräteregistrierung ab und schickten eine hohe Zahl automatisierter Anfragen. Das erklärte Ziel war laut TechCrunch, den 2FA-Schutz zu überwinden und neue Geräte auf bestehenden Nutzerkonten einzutragen. Laut t3n erhalten Nutzer bei der Geräteregistrierung einen sechsstelligen Verifizierungscode, der drei Stunden gültig ist – dieses Zeitfenster nutzten die Angreifer systematisch aus.
Umfang und Sofortmaßnahmen
In einer kleinen Anzahl von Fällen gelang es den Angreifern, verschlüsselte Passwort-Tresore herunterzuladen. Betroffen waren ausschließlich Nutzer des persönlichen Tarifs. Interne Systeme von Dashlane wurden dabei nicht kompromittiert. Das Unternehmen sperrte betroffene Konten automatisch – viele Nutzer konnten vorübergehend nicht einloggen – und benachrichtigte alle Betroffenen direkt. Nach dem Vorfall implementierte Dashlane zusätzliche Schutzmaßnahmen auf Netzwerk- und Produktebene; laut helpnetsecurity.com ergänzt das Unternehmen zudem den Geräteregistrierungsprozess um zusätzliche Verifizierungsschritte.
Warum die Verschlüsselung schützt
Die gestohlenen Tresore sind verschlüsselt und können ohne das Master-Passwort des jeweiligen Nutzers nicht entschlüsselt werden. Entscheidend dabei: Das Master-Passwort wird nicht im Klartext an Dashlane übermittelt oder gespeichert. Die Angreifer besitzen damit Datenpakete, die sie ohne das individuelle Master-Passwort nicht öffnen können.
Restrisiko: Offline-Cracking
Dennoch besteht ein reales Restrisiko. Gestohlene verschlüsselte Tresore sind anfällig für Offline-Passwort-Cracking-Angriffe. Wie ernst das ist, zeigt das LastPass-Datenleck aus dem Jahr 2022: Gestohlene Vault-Backups wurden noch bis 2025 geknackt. Die Stärke des Master-Passworts bleibt damit der entscheidende Schutzfaktor.
Quellen: t3n · TechCrunch · helpnetsecurity.com · stadt-bremerhaven.de · cyberinsider.com
Dieser Artikel wurde KI-gestützt aus mehreren unabhängigen Quellen erstellt und automatisiert faktengeprüft.