Dashlane confirma ataque de brute-force: cofres criptografados de menos de 20 usuarios foram baixados

O gerenciador de senhas Dashlane confirmou que invasores conseguiram baixar os cofres criptografados de menos de 20 usuários do plano pessoal após um ataque de brute-force lançado em 31 de maio de 2026 contra mecanismos de autenticação de dois fatores (2FA). O caso reacende o debate sobre a robustez dos password managers como alvos de alto valor e reforça o papel da Master Password como última camada de defesa.

O que aconteceu

A Dashlane divulgou nesta semana que um ator de ameaça externo conduziu um ataque automatizado de força bruta contra um conjunto de contas de usuários, com o objetivo de quebrar a proteção 2FA e registrar novos dispositivos em contas existentes. A tentativa de inscrever um dispositivo desconhecido é justamente o vetor que permite a um atacante obter uma cópia local do cofre criptografado armazenado nos servidores da empresa.

Segundo a companhia, o volume elevado de requisições disparou os controles internos de segurança, provocando suspensões temporárias de contas e falhas momentâneas de autenticação enquanto o ataque estava em curso. O acesso foi posteriormente restabelecido aos legítimos proprietários, mas a Dashlane confirmou que, em um número reduzido de casos, os invasores tiveram sucesso e conseguiram exfiltrar os arquivos de cofre criptografados.

A empresa afirma ter notificado individualmente cada um dos usuários afetados e ressalta que seus sistemas internos, infraestrutura corporativa e demais clientes não foram impactados pelo incidente.

Como o ataque funcionou

Em ataques desse tipo, o adversário normalmente parte de listas de credenciais previamente vazadas (credential stuffing) ou tenta enumerar combinações comuns de e-mail e senha. Ao acertar a senha de login do serviço, o invasor ainda precisa contornar o segundo fator — e é exatamente nessa etapa que o ataque foi direcionado, com tentativas massivas de adivinhação de códigos OTP ou abuso de fluxos de recuperação de dispositivo.

Uma vez registrado um dispositivo novo na conta, o sincronizador do gerenciador entrega o cofre criptografado para aquele endpoint. O ponto crítico é que o conteúdo do cofre permanece protegido por um modelo zero-knowledge: a chave de descriptografia é derivada localmente a partir da Master Password do usuário, que a Dashlane afirma não armazenar.

“Os dados do cofre não podem ser acessados sem a Master Password. A menos que essa senha seja trivial e altamente previsível, é improvável que qualquer tentativa de abrir o cofre seja bem-sucedida”, afirmou a Dashlane em comunicado.

Quem é afetado

O incidente foi contido a um número específico de assinantes do plano pessoal da Dashlane. Os principais riscos para esses usuários incluem:

• Ataques offline de força bruta contra o arquivo de cofre baixado, especialmente se a Master Password for curta, comum ou reutilizada de outros serviços.
• Tentativas de phishing direcionadas (spear phishing) explorando o conhecimento sobre quais serviços estão no cofre.
• Possível persistência via dispositivos não autorizados que permaneçam registrados na conta sem revisão do usuário.
• Exposição em cascata caso a Master Password tenha sido reutilizada em qualquer outro contexto.

Análise

Gerenciadores de senha tornaram-se alvo prioritário de operadores de ameaça nos últimos anos. O caso da LastPass, em 2022, deixou claro que mesmo cofres criptografados representam um ativo de altíssimo valor quando vão parar nas mãos de quem dispõe de tempo, GPUs e dicionários sofisticados. O incidente atual da Dashlane é, em escala, dramaticamente menor, mas reforça três padrões que já se consolidaram: o 2FA é necessário, mas não suficiente quando o fluxo de registro de dispositivos é abusável; a Master Password é o verdadeiro perímetro de segurança; e o monitoramento de tentativas anômalas continua sendo a defesa que, na prática, limita o estrago.

Vale notar que a Dashlane afirma ter detectado e contido o ataque a partir dos próprios controles de rate-limiting e bloqueio progressivo — um sinal de que a tecnologia funcionou conforme projetada, ainda que tenha permitido a exfiltração de uma quantidade limitada de cofres antes do bloqueio definitivo. Para o ecossistema, o episódio é menos um caso de quebra de criptografia e mais um lembrete de que ataques de credential stuffing automatizados continuam baratos, escaláveis e capazes de gerar resultados mesmo contra serviços maduros.

Recomendações práticas

• Trocar imediatamente a Master Password do gerenciador, optando por uma passphrase longa (mínimo de 16 caracteres) com palavras não relacionadas e sem reuso em qualquer outro serviço.
• Acessar a área de “dispositivos autorizados” da conta e revogar qualquer endpoint não reconhecido.
• Habilitar 2FA com aplicativo autenticador (TOTP) ou, preferencialmente, chave de segurança FISO2/WebAuthn, que não é vulnerável a phishing.
• Após a troca da Master Password, rotacionar de forma priorizada credenciais sensíveis armazenadas no cofre (e-mail principal, bancos, infraestrutura corporativa, contas de administrador).
• Monitorar serviços de credential leak (HIBP, vazamentos de e-mail) e ativar alertas de novos vazamentos.
• Em ambientes corporativos, considerar a federação do gerenciador com SSO e MFA reforçado, e mapear quais colaboradores usam contas pessoais para credenciais profissionais.

Fonte: The Hacker News