월요일에 발표된 보안 권고 암호 관리자 Dashlane에는 공격자가 20개의 암호화된 사용자 저장소를 확보했다고 경고하는 내용이 포함되어 있지 않습니다.
회사는 “2026년 5월 31일 일요일부터 외부 당사자가 특정 Dashlane 사용자 계정에 대해 무차별 대입 공격을 시작했습니다.”라고 말했습니다. “공격의 목표는 공격자가 기존 사용자 계정에 새 장치를 등록할 수 있도록 2단계 인증(2FA) 보호를 무차별 대입하는 것이었습니다.”
안녕하세요, Dashlane. 집에 누구 없나요?
이러한 2FA 요청을 받은 Dashlane 사용자는 일요일에 도착한 알림 스크린샷을 제공했습니다.
영국에 거주하는 사용자는 우려를 표하고 지원 봇을 통해 Dashlane에 연락했습니다. 결국 사용자는 알림이 전송된 이유에 대한 정보를 얻지 못했습니다.
“그런 다음 (나는) 이 소식을 Dashlane 자체가 아니라 Mastodon infosec에서 발견했습니다.”라고 사용자가 말했습니다. “현재 무슨 일이 일어났는지 알아내려고 노력 중입니다! 비밀번호를 먼저 받지 못한 경우 어떻게 2FA 요청을 실행할 수 있습니까? 유료 고객으로서 저는 Mastodon infosec 직원이 아니라 Dashlane로부터 이 사실을 알았어야 한다고 생각합니다.”
수십 개의 소셜 미디어 토론은 이 공격의 기본 메커니즘을 이해하지 못하는 사용자의 유사한 의견으로 가득 차 있습니다. 일반적으로 2FA 보호는 인증 앱에서 생성되거나 문자 또는 이메일로 전송되는 일회용 비밀번호 형식을 취합니다. 일반적으로 길이는 6자리이며 45초 정도마다 변경되지만 위의 알림에서 알 수 있듯이 코드는 3시간 동안 유효했습니다.
무차별 대입은 올바른 조합에 도달할 때까지 가능한 모든 조합을 신속하게 제출하는 시행착오 방법입니다. 이러한 가정 하에서 가능한 비밀번호는 100만 개입니다. 침해가 성공하려면 통계적으로 유의미한 비율의 침해가 3시간 이내에 입력되어야 합니다.
그렇게 짧은 시간 내에 그 정도의 추측으로 Dashlane 서버를 폭격하는 데 필요한 리소스는 가능하지만 일반적인 무차별 대입 공격에서는 흔히 발견되지 않습니다. Dashlane은 사용자가 제출할 수 있는 제출 횟수에 속도 제한을 두었다고 명시적으로 밝히지는 않았지만 “사용자 계정에 대한 시도 횟수가 많기 때문에 Dashlane의 보안 제어 기능이 공격의 대상이 된 계정을 자동으로 잠갔습니다.”라는 권고의 언어를 기반으로 한 것으로 보입니다. 속도 제한이 없다고 가정하더라도 Dashlane 서버가 한 시간 정도에 150,000개 이상의 제출을 수신할 때 적어도 일시적으로 질식하지 않을 것이라고 상상하기는 어렵습니다.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요