Dashlane potwierdza atak brute force, jednak dane użytkowników nie są zagrożone

31 maja 2026 do Dashlane wpłynęły zgłoszenia kilku użytkowników, którzy otrzymali e-mail informujący, że ich konto zostało zawieszone. Użytkownicy zgłaszali również problemy z logowaniem do usługi po zresetowaniu hasła (Master Password).

TLDR:

• Dashlane potwierdza atak brute force wymierzony w wybrane konta użytkowników.
• Celem było obejście zabezpieczeń 2FA i rejestrowanie nowych urządzeń na istniejących kontach.
• Mechanizmy bezpieczeństwa automatycznie zawieszały atakowane konta, co wywołało falę zgłoszeń od użytkowników.
• Atakujący pozyskali kopie zaszyfrowanych sejfów mniej niż 20 użytkowników planów osobistych.
• Dashlane nie stwierdził naruszenia swoich wewnętrznych systemów ani infrastruktury.
• Dostęp do pobranych sejfów wymaga znajomości hasła (Master Password).

Zespół Dashlane ustalił, że przyczyną był atak brute force na wybrane konta użytkowników usługi. Celem ataku było pokonanie mechanizmu uwierzytelniania dwuskładnikowego (2FA), aby przypisać nowe urządzenia do istniejących kont użytkowników. Nie znaleziono dowodów na naruszenie wewnętrznej infrastruktury i systemów Dashlane.

Ze względu na dużą liczbę prób logowania, mechanizmy bezpieczeństwa automatycznie blokowały konta, które były celem ataku – stąd ich właściciele otrzymywali powiadomienia. W ramach obsługi incydentu przywrócono dotkniętym problemem użytkownikom dostęp do ich kont.

Dodatkowo atakującym udało się pobrać kopię zaszyfrowanych sejfów, jednak dotknęło to mniej niż 20 użytkowników (i wyłącznie planów osobistych). Pracownicy Dashlane skontaktowali się bezpośrednio z każdą z tych osób – jeśli używasz Dashlane i nie otrzymałeś wiadomości dotyczącej sejfu, Twoje konto nie zostało dotknięte.

Sejf Dashlane nie może zostać odblokowany bez hasła (Master Password), a firma deklaruje, że próby uzyskania do niego dostępu mają statystycznie mało prawdopodobną skuteczność – nawet w długim okresie.

W komunikacie po zdarzeniu wskazano, że ruch pochodzący od atakujących został zablokowany. Zespół Dashlane miał również podjąć działania w celu ograniczenia ryzyka przyszłych incydentów i dalszego wzmocnienia odporności systemu.

Użytkownikom Dashlane polecamy sprawdzić aktywne sesje i urządzenia, z których zalogowano się na konto oraz usunąć nieużywane urządzenia. Warto także aktywować uwierzytelnianie dwuskładnikowe, bo mimo braku wsparcia dla kluczy sprzętowych, każda forma 2FA jest lepsza niż brak 2FA.

Kluczowym elementem bezpieczeństwa menedżera haseł jest hasło główne (Master Password) – w przypadku Dashlane nie jest ono wysyłane do serwera w postaci jawnej. Jeśli chcesz sprawdzić, ile wiesz o bezpieczeństwie haseł, polecamy rozwiązać nasz quiz ;-)

Warto podkreślić, że ta sytuacja absolutnie nie oznacza, że nie warto korzystać z menedżera haseł. W naszej ocenie korzyści ze stosowania unikalnych haseł i zarządzania nimi w dedykowanym do tego narzędziu znacznie przewyższają idące za tym ryzyko – które odpowiednimi środkami (zarówno po stronie dostawcy, jak i użytkownika) można minimalizować.

A jeśli nie używasz jeszcze menedżera haseł, polecamy nasz kompleksowy poradnik o narzędziu Bitwarden. Ono w odróżnieniu od Dashlane umożliwia skonfigurowanie 2FA przez klucze sprzętowe, a także (dla bardziej zaawansowanych) może działać całkowicie niezależnie od serwerów dostawcy (self-hosted). Nie oznacza to wcale, że Dashlane jest gorszy – tę sugestię kierujemy do osób, które są dopiero na etapie decyzji i wyboru.

Źródła:

• support.dashlane.com
• status.dashlane.com

~Tymoteusz Jóźwiak