Dashlane Diserang Bruteforce, Brankas Sandi Terenkripsi Berhasil Diunduh Peretas

Meta Description: Serangan bruteforce pada Dashlane berhasil mengunduh brankas sandi terenkripsi kurang dari 20 pengguna. Begini kronologi dan dampaknya.

CLB.my.id - Dashlane, salah satu penyedia manajer kata sandi populer, mengonfirmasi bahwa penyerang berhasil mengunduh brankas sandi terenkripsi dari kurang dari 20 pengguna dalam kampanye peretasan yang dimulai Minggu lalu. Serangan ini mengeksploitasi mekanisme pendaftaran perangkat baru yang menjadi fitur dasar layanan manajer kata sandi.

Dalam pembaruan yang dipublikasikan Kamis, Dashlane menjelaskan bahwa aktor ancaman yang tidak dikenal menargetkan endpoint API untuk pendaftaran perangkat dan menggunakan serangan bruteforce untuk mengirim volume besar permintaan otomatis. Sistem keamanan otomatis Dashlane beroperasi sesuai desain, memicu penguncian otomatis terhadap akun yang ditargetkan untuk melindungi pengguna tersebut.

Bagaimana Serangan Bekerja

Ketika pengguna menginstal aplikasi Dashlane di perangkat baru dan mencoba mendaftarkannya ke akun yang sudah ada, Dashlane terlebih dahulu memverifikasi identitas pemegang akun. Verifikasi ini dilakukan dengan mengirimkan token satu kali enam digit ke alamat email terdaftar pengguna, atau bagi pengguna yang mengaktifkan autentikasi dua faktor, dengan memvalidasi kode enam digit yang dihasilkan oleh aplikasi autentikasi mereka.

Penyerang mengeksploitasi antarmuka pemrograman aplikasi (API) Dashlane untuk pendaftaran perangkat. Dengan mengirimkan permintaan dalam volume besar ke alamat email pengguna yang sudah terdaftar, mereka mencoba menghasilkan token yang valid secara brute force. Sebelum serangan berhasil dimitigasi sepenuhnya, penyerang berhasil memaksa dan menghasilkan token yang valid untuk kurang dari 20 pelanggan paket personal, memungkinkan mereka mendaftarkan perangkat baru pada akun tersebut dan mengunduh salinan brankas terenkripsi pengguna.

Apa yang Bisa Dilakukan Peretas dengan Brankas Terenkripsi

Meskipun brankas sandi Dashlane terenkripsi, keberhasilan pengunduhan tetap menimbulkan kekhawatiran serius. Brankas yang dienkripsi masih bisa diserang secara offline, artinya penyerang bisa mencoba menebak kata sandi utama (master password) tanpa batasan percobaan dari server Dashlane. Semakin lemah kata sandi utama pengguna, semakin besar kemungkinan brankas bisa dibobol.

Dashlane menggunakan enkripsi AES-256 yang secara teknis sangat kuat. Namun keamanan enkripsi ini sangat bergantung pada kekuatan kata sandi utama pengguna. Pengguna dengan kata sandi utama yang panjang, kompleks, dan unik memiliki risiko jauh lebih rendah dibandingkan mereka yang menggunakan kata sandi pendek atau umum.

Rekomendasi untuk Pengguna Dashlane

Bagi pengguna Dashlane, langkah-langkah yang disarankan meliputi segera mengubah kata sandi utama jika belum melakukannya dalam beberapa bulan terakhir, mengaktifkan autentikasi dua faktor jika belum aktif, dan mengganti kata sandi untuk akun-akun sensitif seperti perbankan dan email utama.

Dashlane juga menyarankan pengguna untuk memeriksa aktivitas login yang mencurigakan di akun mereka dan melaporkan kejanggalan apa pun. Perusahaan menekankan bahwa sistem keamanan otomatis mereka berhasil mendeteksi dan memblokir sebagian besar serangan sebelum mencapai skala yang lebih besar.

Konteks Ancaman Manajer Kata Sandi

Serangan ini menjadi pengingat bahwa manajer kata sandi, meskipun dirancang untuk meningkatkan keamanan, juga menjadi target menarik bagi peretas karena menyimpan semua kredensial pengguna dalam satu tempat. Tahun lalu, LastPass juga mengalami pelanggaran serupa yang berujung pada pengunduhan brankas terenkripsi pengguna.

Para ahli keamanan siber menekankan bahwa manajer kata sandi tetap jauh lebih aman daripada menggunakan kata sandi yang sama di banyak situs. Kunci utamanya adalah menggunakan kata sandi utama yang sangat kuat dan mengaktifkan autentikasi dua faktor di mana pun memungkinkan.

Kritik terhadap Transparansi Dashlane

Yang menarik perhatian komunitas keamanan siber bukan hanya serangannya, melainkan respons Dashlane yang dianggap terlalu lambat. Sebelum pembaruan resmi Kamis, Dashlane dikritik karena “kebisanan total” terkait detail serangan. Pengguna dan peneliti keamanan mengeluh bahwa Dashlane tidak memberikan informasi yang cukup cepat atau transparan tentang apa yang sebenarnya terjadi.

Kritik ini mengingatkan pada pola serupa yang terjadi pada pelanggaran LastPass, di mana keterlambatan komunikasi membuat pengguna tidak bisa mengambil tindakan perlindungan tepat waktu. Dalam kasus keamanan siber, kecepatan dan transparansi komunikasi sama pentingnya dengan mitigasi teknis.

Dashlane dalam pembaruan terakhirnya menyatakan bahwa mereka terus memantau situasi dan bekerja sama dengan pihak berwenang untuk menyelidiki serangan tersebut. Perusahaan juga mengklaim telah meningkatkan batas rate limiting pada endpoint pendaftaran perangkat untuk mencegah serangan serupa di masa depan.

Pelajaran untuk Pengguna di Indonesia

Bagi pengguna di Indonesia yang menggunakan manajer kata sandi, kejadian ini menjadi pengingat penting untuk tidak hanya mengandalkan satu lapisan keamanan. Mengaktifkan autentikasi dua faktor, menggunakan kata sandi utama yang unik dan panjang, serta secara berkala memeriksa aktivitas akun adalah langkah-langkah dasar yang harus dilakukan. Jangan menunggu notifikasi dari penyedia layanan untuk mengamankan akun Anda.***