Şifre yöneticisi hizmeti Dashlane, kullanıcılarının şifreli veri kasalarına (password vaults) ulaşmayı hedefleyen koordineli bir hackleme kampanyasıyla karşılaştığını duyurdu. Şirketten yapılan açıklamaya göre, operasyon durdurulmadan önce 20'den az sayıda kişisel kullanıcı kasasına erişim sağlandı.
Pazar günü başlayan saldırıda, kimliği belirsiz tehdit aktörleri, Dashlane kullanıcılarının bilgisayar veya telefon gibi yeni cihazları hesaplarına eklemelerine olanak tanıyan mekanizmayı kötüye kullandı. Saldırganlar, Dashlane'ın cihaz kayıt işlemleri için kullandığı programlama arayüzlerini istismar ederek, mevcut kullanıcıların kayıtlı e-posta adreslerine çok sayıda istek gönderdi. Perşembe günü yayınlanan bir güncellemede Dashlane şu bilgileri paylaştı:
Saldırının İşleyişi ve Stratejisi
Bir kullanıcı yeni bir cihaza Dashlane uygulamasını yükleyip mevcut hesabına kaydetmeye çalıştığında, Dashlane ilk olarak hesap sahibinin kimliğini doğrular. Bu doğrulama, kullanıcının kayıtlı e-posta adresine tek kullanımlık altı haneli bir kod gönderilerek (veya iki faktörlü kimlik doğrulama özelliğini etkinleştiren kullanıcılar için kimlik doğrulama uygulaması tarafından üretilen altı haneli bir kodu doğrulayarak) tamamlanır.
Kayıt işleminin başarılı olması için kullanıcının bu kodu Dashlane uygulamasına girmesi gerekir. Bu adımın ardından Dashlane, kaydı onaylar ve şifrelenmiş veri kasasının bir kopyasını cihaza gönderir. Kasa içeriği, kullanıcı ana şifresini girene kadar okunamaz durumda kalır; bu şifre bir şifre çözme anahtarı görevi görür. Dashlane'ın güvenlik belgelerinde açıkladığı üzere, kayıt işleminin başarılı olması için yeni, kayıt yapılmakta olan cihaza tek kullanımlık şifrenin girilmesi gerekmektedir.
Tek bir hesap için tek kullanımlık kodu kaba kuvvet (brute-force) yöntemiyle kırmaya çalışmak – yani doğru kodu bulana kadar tüm olası kombinasyonları denemek – kodların geçerli olduğu üç saatlik süre zarfında bile büyük ölçüde beyhude bir çaba olurdu. 1 milyon olası geçerli kod varken, saldırganların bu süre içinde istatistiksel olarak anlamlı bir yüzdesini denemesi gerekirdi. Hesap başına belirli sayıda isteğe izin veren hız sınırlaması da hesabı kilitleyebilirdi.
Şanslarını artırmak için saldırganlar, çok sayıda hesaba yeni cihaz kaydetme isteği gönderdi. Ardından, bu isteklere karşılık gelen tek kullanımlık kodları eş zamanlı olarak her birine girdiler. Teorik olarak, bu şekilde iki hesaba saldırmak, her deneme şansını 500.000'de 1'e çıkarır. 1.000 hesaba saldırmak ise bu şansı 1.000'de 1'e yükseltirdi ve bu böyle devam ederdi. Hedef alınan hesap sayısı arttıkça, başarı şansı da artıyordu. Şifre püskürtme (password spraying) ekonomisi de benzer şekilde işler. Bu teknik, büyük deneme sayısı tekil hesaplara dağıtıldığı için hız sınırlamasını da zayıflatır.
Dashlane'a göre, 2FA püskürtme saldırısı, operasyon durdurulmadan önce 20'den az kullanıcı hesabında doğru kombinasyonu yakalamayı başardı. Şirket, etkilenen tüm kullanıcılarla iletişime geçtiğini ve henüz bir bildirim almamış olan kullanıcıların bu durumdan etkilenmediğini belirtti.
Saldırganların bu hesaplar için şifresi çözülmüş kasa içeriklerini elde edebilmesi için hala ana şifreyi kırmaları gerekecektir. Dashlane, Argon2 olarak bilinen bir algoritma kullanarak bu süreci zorlaştırır. Bu algoritma, düz metin ana şifresini kriptografik bir karma (hash) haline dönüştürme işlemini önemli ölçüde yavaşlatır ve yoğunlaştırır. Bu da, GPU'lar veya özel donanımlar kullanılarak şifre kırma işlemleri yapılsa bile, büyük miktarda deneme yapmanın muazzam zaman ve hesaplama kaynağı gerektirmesi anlamına gelir.
Bu durum, ana şifrenin uzun, rastgele oluşturulmuş ve yüksek entropiye sahip olması durumunda, saldırganların elde ettikleri şifrelenmiş kasalardan birini şifre çözme olasılığının çok küçük olduğu anlamına gelir. Ancak, herkes bu tür ana şifreleri kullanmamaktadır. Ana şifrenin şifre kırıcılar tarafından paylaşılan kelime listelerinde yer alması durumunda, başarı şansı daha yüksek olurdu, ancak yine de olası görülmezdi.
Genel olarak, bu olay, saldırganların şifreli kullanıcı kasalarını ele geçirmeyi başardığı 2022 LastPass ihlaliyle benzerlikler taşımaktadır. O ihlalde, saldırganlar nihayetinde bazılarından şifresi çözülmüş bilgilere ulaşmayı başardılar. Bu başarı iki şeye dayanıyordu:
İlk olarak, bazı alanlar, örneğin web sitesi URL'leri, kasalarda şifrelenmemiş kaldı. Bu da saldırganların ana şifre olmadan bu bilgileri okuyabilmelerini sağladı. İkinci olarak, çalınan kasalardan bazıları, düz metin şifresini karma haline dönüştürme işlemini yeterince yoğunlaştırmayan eski algoritmalar kullanıyordu. Dashlane, kasalardaki hiçbir kullanıcı alanının şifrelenmemiş olduğunu belirtiyor. Dahası, algoritmalar şifre kırma yeteneklerindeki ilerlemeleri hesaba katacak şekilde periyodik olarak güçlendirildiğinde, işlem otomatik olarak gerçekleşir ve kullanıcı etkileşimi gerektirmez. O dönemde LastPass kasaları için algoritma güncelleme süreci daha fazla kullanıcı müdahalesi gerektiriyordu.
Dashlane'ın ilk bildirisi, saldırının kilit ayrıntılarını dışarıda bırakmış ve kullanıcıların karşı karşıya olduğu devam eden risk hakkında önemli bir kafa karışıklığına yol açmıştı.
Herhangi bir olasılığa karşı önlem olarak, saldırganların ana şifreyi kırmayı başarma ihtimalini azaltmak amacıyla, hem ana şifrelerin hem de kurtarılan Dashlane kasalarının içeriğinin derhal değiştirilmesi tavsiye edilir. Bu durumdan etkilenmeyen Dashlane kullanıcılarının herhangi bir işlem yapmasına gerek yoktur.
