Passwort-Manager, ganz gleich ob vom System, einem Browser oder per anderer Drittanbieter-App, sind bei vielen Nutzern ganz selbstverständlich im Einsatz. Doch was passiert, wenn Angreifer sich Zugriff darauf verschaffen? Genau vor diesem Problem steht gerade Dashlane, denn ein Support-Dokument informiert über eine "Brute Force"-Attacke auf einzelne Konten. Angreifer konnten bei "weniger als 20 Nutzern" eine Kopie des verschlüsselten Tresors herunterladen – Dashlane gibt an, diese Nutzer direkt benachrichtigt zu haben.

Ziel des Angriffs war nicht das Erraten des Master-Passworts, sondern offenbar das Überwinden des 2FA-Schutzes, um neue Geräte für bestehende Konten zu registrieren. Wegen der vielen Versuche griffen Dashlanes Schutzmechanismen und sperrten betroffene Konten automatisch. Hinweise auf eine Kompromittierung interner Systeme gibt es nicht. Der Anbieter betont, dass Tresordaten ohne Master-Passwort nicht zugänglich sind und das Master-Passwort nicht im Klartext an Dashlane-Server gelange. Eine Änderung jenes Passworts hält Dashlane deshalb grundsätzlich nicht für nötig – außer bei Phishing-Verdacht oder wenn man ein sehr schwaches verwendet.


Meta AI hilft beim Kapern von Instagram-Accounts
KI kann außerordentlich hilfreich sein, dachten sich indes andere Hacker. Genauer gesagt ging es um Metas KI-Supportassistenten, welcher übermotiviert zu Werke schritt und mit viel zu weitreichenden Befugnissen ausgestattet war. Berichten zufolge konnten Angreifer den Bot dazu bringen, bei fremden Instagram-Konten eine neue E-Mail-Adresse zu hinterlegen. Anschließend ließ sich über diese Adresse ein Passwort-Reset auslösen – ohne dass die Angreifer Zugriff auf die bisherige Mailadresse des Opfers benötigten.

Der Ablauf war erstaunlich simpel: Angreifer nutzten einen VPN-Standort in der Nähe des mutmaßlichen Kontoinhabers, starteten den Account-Recovery-Prozess und baten den Meta-AI-Supportassistenten, eine neue E-Mail-Adresse mit dem Zielkonto zu verknüpfen. Der Bot schickte den Bestätigungscode dann an die vom Angreifer angegebene Adresse. Wurde der Code zurückgegeben, erschien ein Button zum Zurücksetzen des Passworts und der Account-Übernahme stand nichts mehr im Wege.

Betroffen waren offenbar mehrere prominente oder wertvolle Konten, darunter das archivierte Instagram-Konto des Weißen Hauses unter Obama, der Account des Chief Master Sergeant der U.S. Space Force, Sephora sowie Konten der Sicherheitsforscherin Jane Manchun Wong und anderen Prominenten. Meta bestätigte inzwischen, das Problem behoben zu haben. Wie viele Konten übernommen wurden, bleibt aber unbekannt.