Sicherheitshinweis: Brute-Force-Angriff auf Dashlane-Benutzerkonten – Dashlane

Veröffentlicht am Montag, 1. Juni 2026

Aktualisierung vom Donnerstag, 4. Juni 2026, mit dem Hinweis auf den Abschluss der Untersuchung des Vorfalls sowie der Bestätigung, dass keine weiteren Auswirkungen auf Dashlane-Kunden oder -Systeme festgestellt wurden. Außerdem wurden Details zum Angriff und zu den implementierten Schutzmaßnahmen hinzugefügt. Zur Aktualisierung springen

Übersicht

Ab Sonntag, dem 31. Mai 2026, startete eine externe Partei einen Brute-Force-Angriff auf bestimmte Dashlane-Benutzerkonten. Ziel des Angriffs war es, die Zwei-Faktor-Authentifizierung (2FA) per Brute-Force zu überwinden, um dem Angreifer die Registrierung neuer Geräte in bestehenden Benutzerkonten zu ermöglichen.

Aufgrund der hohen Anzahl von Angriffsversuchen auf Benutzerkonten hat Dashlanes Sicherheitssystem automatisch die angegriffenen Konten gesperrt.

Die Teams von Dashlane wurden sofort benachrichtigt und begannen mit der Untersuchung und Behebung des Vorfalls.

Infolge des Angriffs wurden zahlreiche Benutzerkonten vorübergehend gesperrt. Der Zugriff auf diese Konten wurde inzwischen wiederhergestellt.

Darüber hinaus konnten die Angreifer eine Kopie der verschlüsselten Tresore von weniger als 20 Benutzern mit einem persönlichen Tarif herunterladen. Wir haben jeden dieser Benutzer direkt benachrichtigt. Wenn Sie ein Dashlane-Benutzer sind und keine spezifische Nachricht von Dashlane bezüglich eines Tresor-Risikos erhalten haben, hat dies keine Auswirkungen auf Ihr Dashlane-Konto.

Auf Dashlane-Tresordaten kann ohne das Master-Passwort nicht zugegriffen werden, und unsere Tresor-Verschlüsselung stellt sicher, dass Versuche, auf den Tresor zuzugreifen, statistisch gesehen auch über einen längeren Zeitraum hinweg kaum Aussicht auf Erfolg haben.

Es gibt keine Hinweise darauf, dass das interne System von Dashlane beeinträchtigt wurde.

Ergriffene Maßnahmen zum Schutz der Kunden

Der Datenverkehr von Bedrohungsakteuren wurde blockiert. Benutzerkonten, die gesperrt oder blockiert wurden, wurden wieder aktiviert, einschließlich einiger Kunden, denen das Hinzufügen neuer Geräte oder die Anmeldung bei ihrem Konto mit 2FA verwehrt wurde. Unser Team hat Maßnahmen ergriffen, um das Risiko zukünftiger Vorfälle zu minimieren und unsere Resilienz weiter zu stärken.

Zusammenfassung

Während unsere Untersuchung fortgesetzt wird, konzentrieren wir uns auf die Eindämmung des Vorfalls und den Schutz unserer Kunden.

Sicherheit und Datenschutz sind für Dashlane grundlegend. Wir werden diese Informationsseite bei Bedarf aktualisieren.

Aus Gründen der Genauigkeit wurde die Angriffsbeschreibung nach der Erstveröffentlichung präzisiert.

Aktualisierung vom Donnerstag, 4. Juni 2026

Untersuchung abgeschlossen

Dashlane hat seine Untersuchung abgeschlossen. Es wurden keine weiteren Auswirkungen auf Dashlane-Benutzer festgestellt, und es gibt keine Hinweise darauf, dass die internen Systeme von Dashlane beeinträchtigt wurden. Mit dem Abschluss der Untersuchung möchten wir weitere Details zum Vorfall sowie zu unseren Maßnahmen zur Minimierung zukünftiger Risiken bereitstellen.

Grundlegendes zur Geräteregistrierung

Der Bedrohungsakteur zielte bei seinem Angriff auf einen Geräteregistrierungsablauf ab. Dieser Ablauf wird verwendet, um ein Gerät, wie ein Mobiltelefon oder einen Computer, zu einem Dashlane-Benutzerkonto hinzuzufügen.

Wenn ein Benutzer ein zusätzliches Gerät aktiviert, verifiziert Dashlane die Identität des Kontoinhabers. Diese Verifizierung erfolgt durch das Senden eines einmaligen 6-stelligen Tokens an die registrierte E-Mail-Adresse des Benutzers oder, für Benutzer, die 2FA aktiviert haben, durch die Validierung eines 6-stelligen Codes, der von ihrer Authentifizierungs-Anwendung generiert wird. Der Benutzer gibt diesen Code in die Dashlane-Anwendung ein, woraufhin Dashlane das Gerät registriert und eine Kopie des verschlüsselten Tresors auf das Gerät herunterlädt. Weitere Details zu den Abläufen sind in Dashlanes Sicherheitsdokumentation beschrieben.

Um auf die Elemente im verschlüsselten Tresor zugreifen zu können, muss der Benutzer das Master-Passwort eingeben, um ihn zu entschlüsseln. Das Master-Passwort dient als Entschlüsselungsschlüssel für den Benutzertresor.

Ohne das Master-Passwort kann ein Benutzer nicht auf die Elemente im Tresor zugreifen. Die von Dashlane verwendete Tresor-Verschlüsselung (Argon2 + AES-256-CBC + HMAC-SHA256) stellt sicher, dass Versuche, auf den Tresor zuzugreifen, statistisch gesehen kaum Erfolg haben werden, selbst über einen langen Zeitraum. Dashlane speichert gemäß unserer Zero-Knowledge-Architektur niemals Master-Passwörter oder deren Ableitungen auf unseren Servern.

Zusammenfassung des Angriffs

Der Bedrohungsakteur hat die API-Endpunkte für die Geräte-Registrierung ins Visier genommen und einen Brute-Force-Angriff eingesetzt, um eine große Anzahl automatisierter Anfragen an diese Endpunkte zu senden.

Als Reaktion darauf haben Dashlanes automatisierte Sicherheitssysteme wie vorgesehen funktioniert und eine automatische Sperrung der betroffenen Konten ausgelöst, um diese Benutzer zu schützen. Bevor der Angriff vollständig abgewehrt werden konnte, gelang es dem Bedrohungsakteur, gültige Token für weniger als 20 Kunden mit einem Persönlichen Tarif per Brute-Force zu generieren, wodurch es ihm möglich wurde, ein neues Gerät in diesen Konten zu registrieren und Kopien der verschlüsselten Tresore der Benutzer herunterzuladen.

Ein verschlüsselter Tresor muss entschlüsselt werden, bevor auf die darin enthaltenen Elemente zugegriffen werden kann. Dies geschieht mit dem Master-Passwort, das nur den Benutzern bekannt ist. Im Rahmen von Dashlanes Zero-Knowledge-Architektur speichert Dashlane keine Master-Passwörter oder Ableitungen von Master-Passwörtern auf den Servern von Dashlane.

Zusätzliche Schutzmaßnahmen für Benutzer

Dashlane hat zusätzliche Schutzmaßnahmen auf Netzwerkebene und innerhalb des Produkts eingeführt, um schädlichen Datenverkehr besser zu erkennen und herauszufiltern.

Darüber hinaus werden dem Ablauf für die Registrierung neuer Geräte zusätzliche Verifizierungsebenen hinzugefügt. Dieses Sicherheitshinweis wird aktualisiert, sobald diese Änderungen eingeführt werden.

Fazit

Sicherheit und Datenschutz sind grundlegend für Dashlane. Es ist unsere Verantwortung, unsere Benutzer vor solchen Angriffen zu schützen. Wir werden kontinuierlich in die Stärkung der Widerstandsfähigkeit von Dashlane investieren.

FAQ

Was kann ich als weitere Vorsichtsmaßnahme tun, um mein Konto zu schützen?

Benutzer können:

Die in Ihrem Konto registrierten Geräte überprüfen und alle entfernen, die Sie nicht erkennen.
2FA aktivieren für Ihr Konto, falls noch nicht geschehen.

Muss ich mein Master-Passwort ändern?

Nein. Master-Passwörter werden niemals im Klartext an Dashlane-Server übermittelt; daher können Angreifer auf diesem Weg niemals ein Master-Passwort erlangen. Die einzige Ausnahme besteht, wenn Sie vermuten, Opfer eines Phishing-Angriffs geworden zu sein.

Das Wichtigste, was Sie tun können, um Ihr Konto sicher zu halten, ist die Verwendung eines starken Master-Passworts. Sie möchten ein Master-Passwort, das lang, einzigartig und schwer zu erraten ist. Wenn Sie glauben, ein schwaches oder leicht zu erratendes Master-Passwort zu haben, ändern Sie Ihr Passwort so schnell wie möglich.

Wurden meine Tresor-Daten gestohlen/kompromittiert/geleakt?

Wir haben die sehr begrenzte Anzahl von Kunden kontaktiert, deren Tresore betroffen waren. In diesen wenigen Fällen konnten die Angreifer nur eine Kopie des verschlüsselten Tresors erstellen, für dessen Entsperrung das Master-Passwort erforderlich ist.

Muss ich meine Tresor-Anmeldedaten ändern?

Nein. Für die große Mehrheit der Benutzer, deren Tresore nicht betroffen waren, ist eine Änderung der Anmeldedaten nicht erforderlich.

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Trial-and-Error-Methode, die von Bedrohungsakteuren verwendet wird, um Geheimnisse wie Authentifizierungsdaten zu erraten. In einem Szenario, in dem ein Angreifer versucht, einen temporären numerischen Code per Brute-Force zu ermitteln, verwendet der Angreifer in der Regel automatisierte Mittel, um mögliche numerische Kombinationen an das System zu übermitteln, mit der Absicht, eine gültige zu identifizieren.

Ich dachte, ich hätte mein Konto gelöscht, aber ich habe trotzdem eine E-Mail über dessen Sperrung erhalten. Haben Sie meine Daten noch?

Das Löschen eines Kontos ist ein anderer Vorgang als das Löschen der Dashlane-Erweiterung oder der mobilen App. Wir speichern die Daten inaktiver Konten für 13 Monate, wie in unserer Datenschutzrichtlinie angegeben, wonach sie automatisch gelöscht werden. Um Ihr Konto zu löschen, folgen Sie den Schritten hier.

Ich kann immer noch nicht auf mein Konto zugreifen. Was soll ich tun?

Bitte kontaktieren Sie unseren Kundensupport über den Chatbot in unserem Hilfe-Center.
Dashlane-Chatbot öffnen