Dashlane Confirma Comprometimento de Cofres de Senhas de Usuários Após Ataque
O gerenciador de senhas Dashlane confirmou que um ataque bem-sucedido resultou no roubo de cofres de senhas criptografados de pelo menos 20 usuários. A empresa está sob escrutínio por não detalhar como os atacantes contornaram as defesas, levantando preocupações na comunidade de segurança.
MundiX News·04 de junho de 2026·5 min de leitura·👁 14 views
Após um recente ataque direcionado a usuários do gerenciador de senhas Dashlane, foi revelado que os agressores conseguiram roubar os cofres criptografados de pelo menos 20 clientes. As autoridades da empresa ainda não explicaram como os atacantes conseguiram contornar as proteções das contas, e o incidente está gerando cada vez mais questionamentos na comunidade de cibersegurança.
No final da semana passada, representantes da Dashlane relataram um ataque de força bruta (brute-force attack) contra as contas de alguns usuários. Na ocasião, a empresa afirmou que os mecanismos de proteção integrados haviam sido ativados pelas tentativas de ataque, suspendendo automaticamente as operações das contas afetadas. No entanto, agora se sabe que parte das tentativas dos atacantes foi bem-sucedida. Em uma nova declaração, a Dashlane confirmou que os agressores obtiveram acesso a aproximadamente 20 contas e conseguiram baixar cópias de seus cofres criptografados, contendo senhas e outros dados confidenciais.
"A partir de domingo, 31 de maio de 2026, indivíduos desconhecidos realizaram ataques de força bruta contra as contas de alguns usuários da Dashlane", informou a empresa. "O objetivo dos ataques era realizar força bruta nos mecanismos de autenticação de dois fatores (2FA) para que os agressores pudessem registrar novos dispositivos nas contas existentes dos usuários." A empresa enfatiza que sua própria infraestrutura não foi comprometida e que o alvo eram contas de usuários específicas. Após contornar o mecanismo de 2FA, os atacantes registraram seus dispositivos nas contas das vítimas, obtendo acesso ao conteúdo dos cofres em formato criptografado.
No entanto, as explicações da Dashlane causaram perplexidade entre muitos usuários e especialistas em segurança da informação. Em particular, a empresa alega que os agressores testaram códigos de autenticação de dois fatores de uso único (OTP - One-Time Password), verificando sequencialmente todas as combinações numéricas possíveis até que seus prazos expirassem. Se tratasse de códigos OTP padrão de seis dígitos, os agressores teriam que testar até um milhão de combinações em um período muito curto. Além disso, um ataque desse tipo geralmente requer a ausência de restrições no número de tentativas de entrada e pressupõe que o atacante já superou o primeiro fator de autenticação, ou seja, conhece a senha do usuário.
Os representantes da Dashlane não revelaram como os agressores obtiveram acesso ao primeiro fator de autenticação e, em seguida, conseguiram iniciar as solicitações de confirmação de login. Alguns especulam que a empresa pode ter usado o termo "autenticação de dois fatores" de forma imprecisa. Por exemplo, poderia se tratar de notificações push para confirmar login ou registro de um novo dispositivo. Nesse caso, o ataque se assemelharia mais a um esquema de fadiga de 2FA (2FA fatigue), onde o agressor envia repetidamente solicitações de confirmação à vítima até que o usuário clique acidentalmente no botão de confirmação ou por exaustão devido às notificações constantes. Também é possível que o ataque esteja relacionado à função de registro de novos dispositivos, onde os agressores poderiam enviar solicitações para conectar seu próprio dispositivo a uma conta alheia, contando com a possibilidade de o usuário aprovar essa operação acidentalmente.
A Dashlane afirma que já notificou todos os proprietários de contas afetadas e que não há riscos para os demais clientes. Os representantes do serviço também ressaltaram que o conteúdo dos cofres roubados estava criptografado e não pode ser descriptografado sem a senha mestra, que é armazenada exclusivamente pelo usuário. Usuários observam que o incidente lembra cada vez mais o incidente de segurança do LastPass em 2022, quando os agressores também roubaram backups de cofres de senhas. Embora os dados estivessem criptografados, algumas senhas mestras foram posteriormente quebradas, levando ao comprometimento de contas individuais e, segundo relatos de vítimas, ao roubo de ativos de criptomoedas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Após um recente ataque direcionado a usuários do gerenciador de senhas Dashlane, foi revelado que os agressores conseguiram roubar os cofres criptografados de pelo menos 20 clientes. As autoridades da empresa ainda não explicaram como os atacantes conseguiram contornar as proteções das contas, e o incidente está gerando cada vez mais questionamentos na comunidade de cibersegurança.
No final da semana passada, representantes da Dashlane relataram um ataque de força bruta (brute-force attack) contra as contas de alguns usuários. Na ocasião, a empresa afirmou que os mecanismos de proteção integrados haviam sido ativados pelas tentativas de ataque, suspendendo automaticamente as operações das contas afetadas. No entanto, agora se sabe que parte das tentativas dos atacantes foi bem-sucedida. Em uma nova declaração, a Dashlane confirmou que os agressores obtiveram acesso a aproximadamente 20 contas e conseguiram baixar cópias de seus cofres criptografados, contendo senhas e outros dados confidenciais.
"A partir de domingo, 31 de maio de 2026, indivíduos desconhecidos realizaram ataques de força bruta contra as contas de alguns usuários da Dashlane", informou a empresa. "O objetivo dos ataques era realizar força bruta nos mecanismos de autenticação de dois fatores (2FA) para que os agressores pudessem registrar novos dispositivos nas contas existentes dos usuários." A empresa enfatiza que sua própria infraestrutura não foi comprometida e que o alvo eram contas de usuários específicas. Após contornar o mecanismo de 2FA, os atacantes registraram seus dispositivos nas contas das vítimas, obtendo acesso ao conteúdo dos cofres em formato criptografado.
No entanto, as explicações da Dashlane causaram perplexidade entre muitos usuários e especialistas em segurança da informação. Em particular, a empresa alega que os agressores testaram códigos de autenticação de dois fatores de uso único (OTP - One-Time Password), verificando sequencialmente todas as combinações numéricas possíveis até que seus prazos expirassem. Se tratasse de códigos OTP padrão de seis dígitos, os agressores teriam que testar até um milhão de combinações em um período muito curto. Além disso, um ataque desse tipo geralmente requer a ausência de restrições no número de tentativas de entrada e pressupõe que o atacante já superou o primeiro fator de autenticação, ou seja, conhece a senha do usuário.
Os representantes da Dashlane não revelaram como os agressores obtiveram acesso ao primeiro fator de autenticação e, em seguida, conseguiram iniciar as solicitações de confirmação de login. Alguns especulam que a empresa pode ter usado o termo "autenticação de dois fatores" de forma imprecisa. Por exemplo, poderia se tratar de notificações push para confirmar login ou registro de um novo dispositivo. Nesse caso, o ataque se assemelharia mais a um esquema de fadiga de 2FA (2FA fatigue), onde o agressor envia repetidamente solicitações de confirmação à vítima até que o usuário clique acidentalmente no botão de confirmação ou por exaustão devido às notificações constantes. Também é possível que o ataque esteja relacionado à função de registro de novos dispositivos, onde os agressores poderiam enviar solicitações para conectar seu próprio dispositivo a uma conta alheia, contando com a possibilidade de o usuário aprovar essa operação acidentalmente.
A Dashlane afirma que já notificou todos os proprietários de contas afetadas e que não há riscos para os demais clientes. Os representantes do serviço também ressaltaram que o conteúdo dos cofres roubados estava criptografado e não pode ser descriptografado sem a senha mestra, que é armazenada exclusivamente pelo usuário. Usuários observam que o incidente lembra cada vez mais o incidente de segurança do LastPass em 2022, quando os agressores também roubaram backups de cofres de senhas. Embora os dados estivessem criptografados, algumas senhas mestras foram posteriormente quebradas, levando ao comprometimento de contas individuais e, segundo relatos de vítimas, ao roubo de ativos de criptomoedas.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
