Suas senhas estão seguras? Dashlane suspende contas após tentativas de invasão
Por Bruno De Blasi | •
A Dashlane confirmou a suspensão de contas de seu gerenciador de senhas após tentativas de invasão em larga escala. O comunicado veio à tona após queixas relacionadas ao incidente compartilhadas no X (ex-Twitter) no fim de semana.
De acordo com um comunicado publicado no portal de status da plataforma por volta de 12h neste domingo (31), usuários relataram a suspensão de contas e dificuldades para fazer login após alterar a senha mestre. O caso seguiu em investigação ao longo do dia.
Depois, às 19h30, a companhia informou a incidência de ataques por força bruta, quando agentes maliciosos realizam uma tentativa exaustiva de todas as combinações possíveis para descobrir uma senha. O número de usuários atingidos, no entanto, não foi revelado.
“Podemos confirmar que determinadas contas de usuário do Dashlane foram alvo de um ataque de força bruta realizado por terceiros, resultando na suspensão dessas contas como parte das medidas de segurança integradas do Dashlane. As contas afetadas já foram reativadas”, diz a nota.
Procurada pelo Canaltech, a Dashlane compartilhou um artigo publicado nesta segunda-feira (1º) em sua central de ajuda com mais detalhes sobre o incidente.
Em nota, a empresa informa que o objetivo do ataque era burlar a autenticação de dois fatores (2FA) para registrar novos dispositivos em contas de usuário existentes. Além disso, não há evidências de que os sistemas internos da empresa foram afetados.
Cópia de cofre
Ainda de acordo com o comunicado, os agentes maliciosos conseguiram baixar uma cópia criptografada de menos de 20 usuários do plano pessoal.
"Notificamos diretamente cada um desses usuários. Se você é usuário do Dashlane e não recebeu nenhuma mensagem do Dashlane específica sobre o risco ao cofre, sua conta do Dashlane não foi afetada", disse a companhia.
A companhia ressalta ainda que os dados não podem ser acessados sem a senha e garante que qualquer tentativa de acesso tem uma "probabilidade estaticamente baixa de sucesso", ainda que as tentativas sejam realizadas ao longo de um período de tempo.
"O tráfego proveniente de agentes maliciosos foi bloqueado. As contas de usuários que foram suspensas ou bloqueadas foram reativadas, incluindo alguns clientes que estavam impedidos de adicionar novos dispositivos ou acessar suas contas com autenticação de dois fatores. Nossa equipe tomou medidas para mitigar o risco de incidentes futuros e continua a fortalecer nossa resiliência", conclui o comunicado.
Dificuldade de acesso
O caso também resultou em inúmeras reclamações publicadas em redes sociais. No geral, as críticas se referem à falta de transparência em relação ao incidente.
“Eu fui um dos clientes que recebeu um e-mail de ‘alguém tentou fazer login’”, aponta uma publicação no X. “Francamente, acho a falta de comunicações oficiais profundamente perturbadora e provavelmente será o motivo pelo qual eu vou trocar de gerenciador de senhas depois que o incidente for resolvido.”
Também há queixas sobre a dificuldade para utilizar o serviço na manhã desta segunda. Mesmo após a liberação das contas, um usuário informou que não consegue acessar o cofre há mais de 24 horas, e alegou que “o problema não foi resolvido”.
Em resposta aos relatos no X, a companhia se desculpou e compartilhou o comunicado disponível na plataforma de status.