Şifre yöneticisi Dashlane'in Pazartesi günü yayınladığı güvenlik danışmanlığı, şirketin kullanıcılarının şifrelenmiş 20 kasasına yetkisiz erişim sağlandığını duyurmasıyla büyük kafa karışıklığına yol açtı. Birçok kullanıcı, durumun tam olarak ne anlama geldiği ve olayın nasıl gerçekleştiği konusunda belirsizlik yaşıyor.
Şirketten yapılan açıklamada, "31 Mayıs 2026 Pazar günü itibarıyla, harici bir tarafın belirli Dashlane kullanıcı hesaplarına karşı kaba kuvvet saldırısı başlattığı tespit edildi" denildi. Açıklamada ayrıca, saldırının amacının, saldırganların mevcut kullanıcı hesaplarına yeni cihazlar kaydetmesine olanak tanımak için iki faktörlü kimlik doğrulama (2FA) korumalarını kaba kuvvetle aşmak olduğu belirtildi.
Dashlane'den Şüpheli Açıklamalar
Bu tür bir 2FA talebi alan bir Dashlane kullanıcısı, Pazar günü kendisine gelen bildirimin ekran görüntüsünü paylaştı.
İngiltere'de yaşayan kullanıcı, durumu endişe verici bulup Dashlane destek botu aracılığıyla iletişime geçse de, bildirimin neden gönderildiğine dair herhangi bir bilgi alamadı. Kullanıcı, "Sonra bu haberi Dashlane'in kendisinden değil, sosyal medyadan öğrendim," dedi. "Şu anda neler olduğunu anlamaya çalışıyorum! Çünkü ilk olarak şifreyi ele geçirmeden 2FA talebi nasıl tetiklenebilir? Ücretli bir müşteri olarak, bunu Dashlane'den öğrenmem gerekirdi, sosyal medyadaki güvenlik uzmanlarından değil."
Sosyal medya platformlarında, bu saldırının temel mekanizmalarını anlamayan çok sayıda kullanıcı yorumu bulunuyor. Genellikle, 2FA korumaları bir doğrulama uygulaması tarafından üretilen veya metin/e-posta yoluyla gönderilen tek kullanımlık şifreler şeklinde olur. Bu şifreler genellikle altı hanelidir ve yaklaşık 45 saniyede bir değişir. Ancak bildirimin de gösterdiği gibi, bu durumda kod üç saat boyunca geçerli kalmış.
Kaba kuvvet saldırısı, doğru kombinasyonu bulana kadar olası tüm olasılıkları hızla deneyen bir deneme yanılma yöntemidir. Bu senaryoda, 1 milyon olası şifre kodu bulunmaktadır. Başarılı bir ihlal, bu olasılıkların istatistiksel olarak anlamlı bir yüzdesinin üç saatlik süre zarfında girilmesini gerektirirdi.
Bu kadar kısa bir sürede bu hacimdeki denemeyi Dashlane sunucularına göndermek için gereken kaynaklar mümkün olsa da, sıradan kaba kuvvet saldırılarında yaygın olarak bulunmaz. Dashlane, kullanıcıların yapabileceği deneme sayısına bir hız sınırı koyup koymadığını açıkça belirtmiyor. Ancak danışmanlıktaki "Kullanıcı hesaplarına yapılan yüksek deneme hacmi nedeniyle, Dashlane'in güvenlik kontrolleri saldırıdan etkilenen hesapları otomatik olarak kilitledi" ifadesi, böyle bir sınırın olmasının muhtemel olduğunu gösteriyor. Hız sınırı olmadığını varsaysak bile, Dashlane sunucularının yaklaşık bir saat içinde 150.000 veya daha fazla deneme alırken en azından geçici olarak zorlanmaması pek mümkün görünmüyor.
Dashlane'in 2FA'ya atıfta bulunurken farklı bir anlam kastetmiş olması da mümkün. Bazen 2FA, anlık bildirimler şeklinde gelebilir. Birisi doğru hesap şifresini girdikten sonra, bildirim kayıtlı cihaza gönderilir. Girişin başarılı olması için kullanıcının cihazında ikinci faktörü sağlayan bir düğmeye basması gerekir. Buna 2FA yorgunluğu saldırısı denir ve bu sürecin yarattığı sürtünmeyi sömürür. Saldırgan, ilk kimlik doğrulama faktörünü zaten aşmışsa, tekrar tekrar giriş yapmaya çalışır, bu da her seferinde hedefe bir anlık bildirim gönderilmesine neden olur. Onlarca, hatta yüzlerce denemeden sonra hedef kişi sonunda pes edip onay düğmesine basar.
Ve elbette, 2FA'ya yönelik kaba kuvvet saldırıları, ilk kimlik doğrulama faktörünün zaten kırılmış olmasını gerektirir. Dashlane, bu faktörün ne olduğu veya nasıl kırıldığı hakkında herhangi bir bilgi vermiyor.
Ayrıca, saldırının Dashlane kullanıcılarının hesaplarına yeni cihazlar kaydetmelerine izin veren özellikleri sömürmüş olması da daha fazla olası senaryodan biridir. Bu tür teknikler genellikle kullanıcıyı, saldırgana ait bir cihazı onaylamaya kandırarak çalışır.
Dashlane, şifrelenmiş kasalarına erişilen 20'den az hesap sahibinin kendileriyle iletişime geçtiğini belirtti. Şirket, "Eğer bir Dashlane kullanıcısıysanız ve kasanızın riskiyle ilgili Dashlane'den özel bir mesaj almadıysanız, Dashlane hesabınızda herhangi bir etki söz konusu değildir" dedi. Ayrıca, Dashlane'in hiçbir zaman görmediği ve saklamadığı ana şifre olmadan kasa içeriklerinin güvende kaldığını da belirtiyor.
Ancak daha fazla bilgi olmadan, beklentimizden daha fazla soru işaretiyle baş başa kalıyoruz. Dashlane, belirsiz danışmanlığı yayınlamasından bu yana 48 saatten fazla bir süredir sessizliğini koruyor. Şirket temsilcileri, detay isteyen bir e-postaya yanıt vermedi.
Not: Güncelleme, bildirimi alan bir Dashlane kullanıcısından alınan ayrıntıları eklemek için yapılmıştır.
