Dashlane Konfirmasi Vault Terenkripsi Pelanggan Dicuri Lewat Serangan Brute-Force

CLB.my.id - Dashlane, penyedia layanan manajer kata sandi populer, mengungkapkan bahwa peretas berhasil mencuri salinan vault terenkripsi milik sekitar 20 pelanggan setelah menyerang sistem autentikasi dua faktor mereka. Serangan brute-force ini dimulai pada 31 Mei 2026.

Bagaimana Serangan Terjadi?

Menurut advisory keamanan yang dipublikasikan Dashlane, pihak eksternal meluncurkan serangan brute-force terhadap sistem autentikasi dua faktor (2FA) pelanggan tertentu. Serangan ini bertujuan menebak kode autentikasi sementara secara otomatis untuk mendaftarkan perangkat baru pada akun yang sudah ada.

Dashlane menjelaskan bahwa penyerang menggunakan perangkat lunak otomatis untuk dengan cepat mengirimkan setiap kemungkinan kombinasi numerik ke sistem, berharap bisa menebak urutan yang tepat sebelum kode keamanan 2FA kedaluwarsa.

Meski sistem keamanan Dashlane berhasil mengunci akun yang menjadi target secara otomatis karena volume percobaan login yang tinggi, penyerang tetap berhasil mengundang salinan vault terenkripsi milik kurang dari 20 pelanggan paket personal.

Apa Isi Vault yang Dicuri?

Vault Dashlane berisi kata sandi dan kredensial sensitif lainnya yang disimpan pengguna. Namun, Dashlane menegaskan bahwa data vault tidak bisa diakses tanpa Master Password yang hanya diketahui oleh pelanggan dan tidak pernah dikirim ke server Dashlane dalam bentuk plaintext.

Artinya, penyerang memiliki salinan vault yang terenkripsi. Untuk membukanya, mereka perlu memecahkan Master Password, yang menurut Dashlane secara statistik sangat kecil kemungkinannya untuk berhasil.

Namun, ada risiko serius bagi pelanggan yang menggunakan Master Password lemah atau mudah ditebak. Kasus serupa terjadi pada LastPass pada 2022, di mana vault pelanggan yang dicuri berhasil dipecahkan karena persyaratan kata sandi pelanggan lama jauh lebih lemah dari standar terbaru.

Pelajaran dari Insiden Ini

Insiden Dashlane mengingatkan bahwa tidak ada sistem keamanan yang sepenuhnya kebal. Autentikasi dua faktor, meski menambah lapisan perlindungan, bukanlah jaminan mutlak terhadap serangan brute-force yang terotomatisasi.

Bagi pengguna manajer kata sandi, beberapa langkah yang disarankan adalah memeriksa perangkat yang terhubung ke akun dan menghapus yang tidak dikenal, menggunakan Master Password yang kuat dan unik, serta mempertimbangkan untuk mengganti kata sandi sensitif jika Master Password diragukan kekuatannya.

Dashlane sendiri telah memblokir lalu lintas dari aktor ancaman dan mengambil langkah mitigasi untuk mengurangi risiko serangan serupa di masa depan. Akun yang terdampak juga telah dipulihkan.

15 Plugin JetBrains Marketplace Ketahuan Curi API Key AI, Total 70 Ribu Pengguna Terdampak

15 Plugin JetBrains Marketplace Ketahuan Curi API Key AI, Total 70 Ribu Pengguna Terdampak CLB.my.id - Firma keamanan rantai pasokan Aikido Security mengungkap kampanye malware terkoordinasi di JetBrains Marketplace. Setidaknya 15 plugin IDE yang berpura-pura menjadi asisten coding AI ternyata dirancang untuk mencuri API key dari penyedia layanan

Satu Klik di Microsoft 365 Copilot Bisa Bocorkan Email, File Rahasia, dan Kode MFA Perusahaan

Satu Klik di Microsoft 365 Copilot Bisa Bocorkan Email, File Rahasia, dan Kode MFA Perusahaan CLB.my.id - Peneliti keamanan dari Varonis Threat Labs mengungkap celah kritis bernama “SearchLeak” di Microsoft 365 Copilot Enterprise. Celah ini memungkinkan penyerang mencuri email, kode autentikasi dua faktor (2FA), dokumen SharePoint, dan file

Serangan Agentjacking Bikin Agen AI Coding Jalankan Kode Jahat Tanpa Disadari Pengembang

Serangan Agentjacking Bikin Agen AI Coding Jalankan Kode Jahat Tanpa Disadari Pengembang CLB.my.id - Para peneliti keamanan siber dari Tenet Security mengungkap kelas serangan baru yang mereka beri nama “agentjacking.” Serangan ini mampu menipu agen AI coding seperti Claude Code, Cursor, dan Codex agar menjalankan kode berbahaya di

GitHub Copilot Kini Punya Agent Finder, Agen AI Bisa Cari Tools yang Dibutuhkan Sendiri

GitHub Copilot Kini Punya Agent Finder, Agen AI Bisa Cari Tools yang Dibutuhkan Sendiri Meta Description GitHub rilis Agent Finder untuk Copilot, fitur yang biarkan agen AI menemukan tools dan MCP server yang tepat secara otomatis berdasarkan deskripsi tugas. CLB.my.id - Developer yang menggunakan agen AI untuk coding