สรุปสั้น

Dashlane ผู้ให้บริการจัดการรหัสผ่าน เปิดเผยว่าเมื่อวันที่ 31 พฤษภาคม พ.ศ. 2569 ผู้โจมตีจากภายนอกเปิดปฏิบัติการ brute-force โจมตีบัญชีผู้ใช้บางส่วน โดยมุ่งเป้าเจาะระบบ two-factor authentication (2FA) เพื่อลงทะเบียนอุปกรณ์ใหม่บนบัญชีที่มีอยู่แล้ว ผู้โจมตีสามารถสร้าง token ที่ถูกต้องสำหรับผู้ใช้แผน Personal ไม่เกิน 20 ราย ทำให้ลงทะเบียนอุปกรณ์ใหม่และดาวน์โหลดสำเนา vault ที่เข้ารหัสได้สำเร็จ อย่างไรก็ตาม vault เหล่านี้ยังคงเข้ารหัสอยู่และไม่สามารถเปิดดูได้หากไม่มี Master Password ระบบภายในของ Dashlane ไม่ได้รับผลกระทบ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 มิถุนายน พ.ศ. 2569 ว่า Dashlane เปิดเผยเหตุการณ์โจมตีแบบ brute-force ที่เกิดขึ้นเมื่อ 31 พฤษภาคม ผู้โจมตีส่งคำขออัตโนมัติจำนวนมหาศาลไปยัง API endpoints สำหรับลงทะเบียนอุปกรณ์ ปริมาณคำขอที่สูงผิดปกติทำให้ระบบป้องกันของ Dashlane ทำงานอัตโนมัติ ระงับบัญชีที่ถูกเป้าหมายชั่วคราว ทำให้ผู้ใช้บางส่วนพบปัญหาการยืนยันตัวตน

Dashlane อธิบายเพิ่มเติมเมื่อ 4 มิถุนายนว่าผู้โจมตีเจาะผ่านขั้นตอน device registration flow ซึ่งปกติเมื่อผู้ใช้เพิ่มอุปกรณ์ใหม่ Dashlane จะส่งรหัส 6 หลักไปยังอีเมลที่ลงทะเบียน หรือตรวจสอบรหัส 6 หลักจากแอป 2FA เมื่อกรอกรหัสถูกต้อง ระบบจะลงทะเบียนอุปกรณ์และดาวน์โหลดสำเนา vault เข้ารหัส

ผู้โจมตีสามารถสร้าง valid token ได้สำหรับผู้ใช้แผน Personal ไม่เกิน 20 ราย ทำให้ลงทะเบียนอุปกรณ์ใหม่และดาวน์โหลด vault ที่เข้ารหัสได้ Dashlane ได้แจ้งผู้ใช้ที่ได้รับผลกระทบโดยตรงแล้ว

วิธีการโจมตี

ผู้โจมตีใช้เทคนิค brute-force โจมตี API endpoints สำหรับลงทะเบียนอุปกรณ์ใหม่ โดยส่งคำขออัตโนมัติจำนวนมากเพื่อเดารหัสยืนยันตัวตน 6 หลัก (ทั้งรหัสจากอีเมลและรหัส 2FA) เนื่องจากรหัส 6 หลักมีค่าที่เป็นไปได้เพียง 1 ล้านค่า หากไม่มีการจำกัดจำนวนครั้ง (rate limiting) ที่เข้มงวดเพียงพอ การ brute-force จึงมีโอกาสสำเร็จได้

เมื่อเจาะผ่าน 2FA ได้ ผู้โจมตีจะลงทะเบียนอุปกรณ์ใหม่บนบัญชีเป้าหมายและระบบจะดาวน์โหลด vault เข้ารหัสไปยังอุปกรณ์นั้นโดยอัตโนมัติ อย่างไรก็ตาม vault ยังถูกเข้ารหัสด้วย Master Password ซึ่งไม่ได้ถูกเก็บบนเซิร์ฟเวอร์ของ Dashlane หากผู้ใช้ตั้ง Master Password ที่แข็งแกร่ง ข้อมูลภายในก็ยังปลอดภัย

ผลกระทบต่อไทย

ผู้ใช้ Password Manager ในไทยมีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง ทั้ง Dashlane, 1Password, Bitwarden และอื่น ๆ เหตุการณ์นี้เป็นบทเรียนสำคัญว่าแม้แต่บริการจัดการรหัสผ่านก็ยังอาจถูกโจมตีได้ ผู้ใช้ในไทยที่ใช้ Dashlane ควรตรวจสอบบัญชีทันที และสำหรับผู้ใช้บริการอื่น ควรตระหนักว่า Master Password ที่แข็งแกร่งคือด่านป้องกันสุดท้ายที่สำคัญที่สุด

คำแนะนำ

  • ตรวจสอบรายการอุปกรณ์ที่ลงทะเบียนในบัญชี Dashlane และลบอุปกรณ์ที่ไม่รู้จักออก
  • ใช้ Master Password ที่ยาว ไม่ซ้ำกับบริการอื่น และยากต่อการเดา
  • เปิดใช้งาน 2FA ด้วยแอป authenticator แทนการพึ่งพาอีเมลเพียงอย่างเดียว
  • พิจารณาใช้ passkey หรือ hardware security key เป็นปัจจัยยืนยันตัวตนเพิ่มเติม
  • ผู้ให้บริการ Password Manager ทุกรายควรใช้ rate limiting ที่เข้มงวดสำหรับ API ลงทะเบียนอุปกรณ์

แหล่งอ้างอิง