密码管理员Dashlane表示黑客窃取了一些客户的密码库

密码管理器制造商Dashlane表示，黑客在周末网络攻击期间获得了至少十几个用于存储客户密码的加密保险库。

该公司在其网站上表示，黑客暴力破解了该公司的双因素身份验证系统，使黑客能够访问约20个客户帐户。通过破坏其双因素机制，黑客能够下载某些客户的加密保险库的副本，该保险库存储他们的密码和其他敏感凭证。

Dashlane在其事件页面上表示，没有证据表明其自己的系统受到损害，但尚未说明黑客如何能够破坏其两因素保护以访问客户帐户。双因素是一种安全功能，可防止仅通过被盗的用户名和密码即可访问帐户，通常需要将额外的密码发送到帐户持有人的手机。

Dashlane表示：“此次攻击的目标是强制实施双因素身份验证 (2FA) 保护，以允许攻击者在现有用户帐户上注册新设备。”该公司表示，攻击者可以使用自动化软件“快速向系统提交所有可能的数字组合，希望在短暂的[双因素]安全代码到期之前猜测出确切的序列。”

该公司表示已“采取措施降低未来发生事件的风险”，但没有透露具体是什么。

Dashlane表示，它已通知大约20名加密金库被盗的客户。目前尚不清楚特定客户是否因某种原因而成为攻击目标，例如他们是谁或他们以什么为生。

Dashlane的发言人没有回应置评请求。该公司没有透露是否知道谁瞄准了其客户，也没有透露黑客是否联系Dashlane提出赎金等要求。

该公司网站称，被盗的金库是经过加密的，如果没有客户的主密码就无法读取，该密码只有客户知道，并且不会以明文形式上传到Dashlane。但Dashlane表示，拥有容易被猜到的主密码的客户可能面临更大的风险，因为主密码被猜到并且其密码库被解密。

影响密码管理公司的数据泄露事件很少见，但可能会产生持久的后果。

2022年，LastPass确认客户密码库备份在网络攻击期间被盗。虽然金库受到只有客户知道的密码保护，但早期客户的密码要求远弱于后来的标准，这使得黑客可以暴力破解并轻松猜出某些客户金库的密码。有几起据报道，黑客窃取了大量客户的加密货币，很可能是通过使用存储在被盗LastPass金库中的私钥来窃取的，这些金库的主密码在泄露后被破解。

一年前，澳大利亚软件公司Click Studios在黑客破坏其软件更新机制并在客户系统上植入恶意软件后，警告所有使用其旗舰密码管理器Passwordstate的客户“重置所有凭据”。