Um ataque de força bruta contra o gerenciador de senhas Dashlane permitiu que invasores copiassem os cofres criptografados de menos de 20 usuários entre 31 de maio e junho de 2026. Os atacantes abusaram da API de registro de dispositivos do Dashlane para gerar tokens de autenticação em massa, burlando proteções de 2FA e baixando cofres protegidos por senha mestra.
Como o ataque funcionou
Os atacantes exploraram o mecanismo que permite aos usuários do Dashlane adicionar novos dispositivos às suas contas. Quando alguém instala o aplicativo em um aparelho novo, o Dashlane envia um token de seis dígitos para o email registrado ou solicita um código de autenticação 2FA. A prova de identidade deve ser inserida no dispositivo que está solicitando o registro.
Em vez de tentar adivinhar códigos para uma conta individual — o que seria inviável dado o espaço de 1 milhão de combinações por token — os atacantes enviaram requisições de registro simultâneas para um grande número de contas. Ao distribuir as tentativas, cada conta recebia poucas requisições individuais, contornando os limites de taxa (rate limiting) do sistema. As chances de acerto aumentam proporcionalmente ao número de contas atacadas.
Estratégia de força bruta distribuída
A técnica é semelhante ao password spraying, mas aplicada a tokens de autenticação 2FA. Atacando duas contas simultaneamente, a probabilidade de sucesso por tentativa dobra para 1 em 500.000. Com 1.000 contas, sobe para 1 em 1.000. O Dashlane confirmou que os sistemas automatizados de segurança acionaram o bloqueio das contas, mas não antes que tokens válidos fossem gerados para menos de 20 contas do plano pessoal.
- 31 de maio de 2026 — Dashlane detecta volume anômalo de requisições na API de registro de dispositivos
- 31 de maio — Contas são bloqueadas automaticamente; usuários relatam emails de suspensão
- 4 de junho — Dashlane confirma que menos de 20 cofres criptografados foram copiados
- 5 de junho — Detalhes técnicos da mecânica do ataque são divulgados
Com os tokens válidos, os atacantes registraram dispositivos nas contas comprometidas e baixaram cópias dos cofres criptografados. O Dashlane reforça que os cofres permanecem protegidos pela senha mestra, que funciona como chave de descriptografia.
Riscos dos cofres roubados
Embora os cofres estejam criptografados, os atacantes podem tentar quebrar a senha mestra offline usando força bruta. O Dashlane usa o algoritmo Argon2, que torna esse processo computacionalmente caro. Senhas mestras longas, aleatórias e com alta entropia são praticamente invioláveis. Porém, senhas baseadas em palavras do dicionário ou padrões comuns oferecem risco real de quebra.
O incidente guarda semelhanças com o vazamento da LastPass em 2022, quando atacantes obtiveram cofres criptografados e conseguiram decriptar parte do conteúdo — em alguns casos porque campos como URLs não eram criptografados, e em outros porque algoritmos de derivação antigos facilitaram a quebra.
| Aspecto | Dashlane (2026) | LastPass (2022) |
|---|---|---|
| Vetor de ataque | Brute-force em API de registro | Infraestrutura interna comprometida |
| Cofres roubados | Menos de 20 | Milhares |
| Criptografia | Argon2 (moderno) | PBKDF2 antigo em alguns |
| Dados não criptografados | Não confirmado | URLs e metadados expostos |
| 2FA como barreira | Contornado por spraying | Não era o foco do ataque |
Como proteger sua conta
Se você é usuário do Dashlane, verifique se recebeu alguma notificação de segurança da empresa. Caso tenha sido afetado, altere imediatamente a senha mestra e as senhas armazenadas no cofre, especialmente aquelas para serviços críticos como email e banking. Revise os dispositivos registrados na sua conta e remova qualquer aparelho desconhecido. Para todos os usuários de gerenciadores de senhas, use senhas mestras com pelo menos 16 caracteres gerados aleatoriamente e autenticação multifator. Monitore regularmente alertas de acessos não autorizados e considere a possibilidade de que credenciais roubadas por malware possam facilitar ataques mesmo com cofres protegidos.