Dashlane, 공격자들이 암호화된 비밀번호 금고를 다운로드한 방법 공개

출처: Ars Technica

내용 건너뛰기

**우리는 이제 알게 되었다**


  

  

  
    다수의 사용자를 표적으로 삼음으로써 공격자는 성공 가능성을 높였다.
  

          
      




      사진 출처:

      
      Getty Images

              
      




  


                  
                  
      

Dashlane은 공격자가 자사의 방대한 사용자 기반을 대상으로 협조된 해킹 캠페인을 전개해 가능한 한 많은 암호화된 비밀번호 금고를 탈취하려 했다고 밝혔다. 비밀번호 관리자 제공업체는 운영을 중단하기 전 20개 미만의 개인 사용자 금고가 다운로드되었다고 전했다.

일요일에 시작된 이번 캠페인에서, 정체를 알 수 없는 위협 행위자는 Dashlane 사용자가 컴퓨터나 휴대폰 같은 새 기기를 계정에 추가할 수 있게 하는 메커니즘을 악용했다. 기기 등록을 위한 Dashlane의 프로그래밍 인터페이스를 남용해 공격자는 다수의 기존 사용자 등록 이메일 주소로 요청을 보냈다. 목요일에 발표된 업데이트에서 Dashlane은 다음과 같이 적었다:

위협 행위자는 기기 등록을 위한 API 엔드포인트를 표적으로 삼아 대량의 자동화된 요청을 전송하기 위해 무차별 대입 공격을 사용했다.

이에 대응해 Dashlane의 자동 보안 시스템은 정상적으로 작동해 대상 계정을 자동으로 잠그고 사용자를 보호했다. 공격이 완전히 차단되기 전에 위협 행위자는 20명 미만의 개인 플랜