Dashlane đã công bố thông tin chi tiết về một tấn công brute-force tinh vi. Kẻ tấn công đã vượt qua cơ chế bảo vệ xác thực hai yếu tố (2FA) để đăng ký thiết bị trái phép và tải xuống các kho mật khẩu đã mã hóa của dưới 20 người dùng gói cá nhân.
Cuộc điều tra đã hoàn tất, xác nhận không có tác động rộng hơn đến các hệ thống nội bộ của Dashlane.
Chi Tiết Kỹ Thuật về Cuộc Tấn Công Brute-Force
Bắt đầu từ Chủ nhật, ngày 31 tháng 5 năm 2026, một kẻ đe dọa bên ngoài đã triển khai một chiến dịch tấn công brute-force với số lượng lớn.
Mục tiêu của cuộc tấn công là các tài khoản người dùng Dashlane.
Kẻ tấn công tập trung vào các điểm cuối (API endpoints) đăng ký thiết bị của nền tảng.
Chúng đã gửi một lượng lớn yêu cầu tự động, được thiết kế để đoán các mã token 6 chữ số dùng một lần. Các mã token này được gửi qua email hoặc tạo bởi các ứng dụng xác thực.
Cơ Chế Khai Thác Điểm Yếu trong Đăng Ký Thiết Bị và Bảo Mật 2FA
Kẻ đe dọa đã khai thác luồng đăng ký thiết bị của Dashlane.
Luồng này được kích hoạt bất cứ khi nào người dùng thêm một thiết bị mới, chẳng hạn như điện thoại di động hoặc máy tính, vào tài khoản của họ.
Sau khi xác minh 2FA thành công, Dashlane sẽ đăng ký thiết bị đó và tự động tải xuống một bản sao kho mật khẩu đã mã hóa về thiết bị đó.
Bằng cách brute-force thành công các mã token 6 chữ số hợp lệ cho một nhóm tài khoản, kẻ tấn công đã hoàn tất quy trình đăng ký.
Hành động này đã ủy quyền hiệu quả cho thiết bị của chúng và tải xuống các bản sao kho mật khẩu đã mã hóa mà chủ tài khoản không hề hay biết.
Phạm Vi Tác Động và Kiến Trúc Bảo Mật
Dưới 20 người dùng gói cá nhân đã bị rò rỉ các kho mật khẩu đã mã hóa của họ.
Dashlane đã trực tiếp thông báo cho tất cả người dùng bị ảnh hưởng.
Mặc dù kho dữ liệu đã được tải xuống, Dashlane khẳng định rằng dữ liệu bị đánh cắp vẫn không thể truy cập được một cách hiệu quả.
Nội dung của kho được bảo vệ bởi Mật khẩu Chính (Master Password) của người dùng.
Mật khẩu Chính này không bao giờ được truyền đến máy chủ của Dashlane dưới dạng văn bản thuần túy và cũng không bao giờ được lưu trữ. Đây là một nguyên tắc cốt lõi của kiến trúc zero-knowledge của Dashlane.
Sức Mạnh Của Mã Hóa Chống Lại Tấn Công Brute-Force
Ngăn xếp mã hóa sử dụng Argon2 + AES-256-CBC + HMAC-SHA256.
Kiến trúc này làm cho việc brute-force Mật khẩu Chính trở nên bất khả thi về mặt thống kê, ngay cả trong khoảng thời gian kéo dài.
Không có bằng chứng nào cho thấy cơ sở hạ tầng nội bộ của Dashlane bị xâm phạm vào bất kỳ thời điểm nào trong sự cố.
Kiến trúc bảo mật nhiều lớp này là lý do tại sao, ngay cả khi các kho đã mã hóa bị tải xuống, chúng vẫn được coi là an toàn nếu Mật khẩu Chính không bị lộ.
Các Biện Pháp Khắc Phục và Bài Học Kinh Nghiệm
Ngày 4 tháng 6 năm 2026, Dashlane đã công bố hoàn tất cuộc điều tra.
Xác nhận rằng không có tác động bổ sung nào đến khách hàng. Các biện pháp khắc phục đã được triển khai.
Kiểm soát bảo mật tự động của Dashlane đã phản ứng theo đúng dự kiến, kích hoạt khóa tài khoản trên các tài khoản bị nhắm mục tiêu trước khi cuộc tấn công được ngăn chặn hoàn toàn.
Điều này nhấn mạnh tầm quan trọng của các hệ thống giám sát và phản ứng tự động trong việc giảm thiểu thiệt hại từ các tấn công brute-force.
Tăng Cường An Toàn Thông Tin và Bảo Vệ Dữ Liệu
Sự cố này cho thấy ngay cả các trình quản lý mật khẩu mạnh mẽ cũng có thể bị nhắm mục tiêu ở lớp xác thực (authentication perimeter) thay vì chính lớp mã hóa.
Vì vậy, cấu hình 2FA mạnh mẽ và việc duy trì Mật khẩu Chính sạch sẽ là các biện pháp kiểm soát phòng thủ quan trọng cho tất cả người dùng.
Người dùng cần đảm bảo rằng họ sử dụng Mật khẩu Chính độc đáo, mạnh mẽ và không bao giờ tái sử dụng mật khẩu này ở bất kỳ nơi nào khác.
Việc sử dụng các ứng dụng xác thực (authenticator apps) thường được khuyến nghị hơn so với SMS cho bảo mật 2FA.
Thông tin chi tiết về sự cố có thể được tìm thấy trên trang hỗ trợ của Dashlane: Security advisory: Brute-force attack on Dashlane user accounts.
Bài học từ vụ việc này là lời nhắc nhở quan trọng về sự cần thiết của việc liên tục đánh giá và tăng cường an toàn thông tin cho mọi tài khoản trực tuyến, đặc biệt là với các dịch vụ quản lý mật khẩu.
Kẻ tấn công không cần phải phá vỡ lớp mã hóa mạnh mẽ để đạt được mục tiêu ban đầu là rò rỉ dữ liệu đã mã hóa, mà chỉ cần khai thác điểm yếu trong quy trình xác thực.
