Passwortmanager Dashlane: Angreifer kopieren fast 20 Passwort-Vaults

Kriminelle haben Brute-Force-Angriffe auf Dashlane-Nutzerkonten ausgeführt, meldet der Anbieter. Dabei gelang es ihnen, etwa 20 Passwort-Vaults von Nutzerinnen und Nutzern zu kopieren. Die Daten seien verschlüsselt und nicht zugreifbar, versichert der Support.

In einem Support-Beitrag informiert Dashlane über den Vorfall. Die Untersuchungen habe der Anbieter demnach gegen Ende vergangener Woche abgeschlossen. Die Autoren beschreiben in der Mitteilung, dass am Sonntag, den 31. Mai 2026, jemand Brute-Force-Angriffe gegen bestimmte, nicht näher erläuterte Dashlane-Konten gestartet hat. Ziel war dabei, die Zwei-Faktor-Authentifizierung mittels Brute-Force zu umgehen, um so neue Geräte in bestehende Nutzerkonten zu registrieren.

Brute-Force-Angriffe abgewehrt

Die schiere Menge an Anfragen führte dazu, dass die automatischen Sicherheitssysteme angeschlagen sind und die betroffenen Nutzerkonten gesperrt haben, die Ziel der Angriffe waren. Das Dashlane-Team erhielt eine Warnung vom System und untersuchte den Vorfall. Als Ergebnis der Angriffe hatten viele Nutzer mit temporär gesperrten Konten zu tun. Der Zugang wurde inzwischen wiederhergestellt, versichert Dashlane.

Die Angreifer waren in einigen Fällen offenbar erfolgreich und konnten weniger als 20 Passwort-Vaults herunterladen, von Nutzern mit einem „Personal“-Abo (im Gegensatz zu „Business“-Abos). Dashlane habe Betroffene bereits direkt informiert – wer keine Benachrichtigung erhalten habe, sei daher nicht betroffen, versichert der Anbieter. Zudem seien Dashlane-Vaults nicht ohne das Master-Passwort zugreifbar, die Verschlüsselung stelle sicher, dass Zugangsversuche statistisch unwahrscheinlich gelingen – auch über längere Zeiträume.

Die Untersuchungen hätten keine weiteren Einflüsse auf die Dashlane-Systeme gezeigt. Die Angreifer haben versucht, den Mechanismus zur Geräteregistrierung zu missbrauchen. Der fragt einen sechsstelligen 2FA-Code ab, entweder mittels Authenticator erstellt oder als E-Mail gesendet. Passt der Code, lädt das Gerät den Passwort-Vault herunter. Der lässt sich jedoch nur mit dem Master-Passwort öffnen und setzt auf zeitgemäße Verschlüsselungsalgorithmen. Dashlane nennt eine verwendete Kombination aus Argon2, AES-256-CBC und HMAC-SHA256.

Dass die Passwort-Vaults ordentlich verschlüsselt sind, ist unbedingt erforderlich – es handelt sich nicht um den ersten Vorfall, bei dem Cloud-gespeicherte Passworttresore in die Hände von Online-Kriminellen gefallen sind. Etwa Ende 2022 hatte der Passwort-Manager-Dienst LastPass eingeräumt, dass Unbefugte in die Cloudsysteme eingedrungen sind und dabei Zugriff auf Kundendaten erlangt haben. E-Mail-Adressen und Passwörter waren darunter: Die Rede war davon, dass aus Backups kopierte Passworttresore von Kunden unverschlüsselte URLs und verschlüsselte Informationen wie Nutzernamen und Passwörter enthielten.

Rund ein Jahr später schienen die Angreifer dann die Passworttresore zu knacken. Mit den Zugangsdaten darin konnten sie offenbar Zugang zu bestimmten Konten erlangen und Kryptowallets leerräumen.

(dmk)