密码管理器服务商 Dashlane 披露，黑客在周末一次网络攻击中获取了部分用户的加密密码库。公司称，攻击者通过暴力破解双重验证机制，进入约 20 个客户账户，并下载了至少十余个用于保存密码和其他敏感凭证的加密文件。

约20个账户受影响

公告显示，这次攻击的目标是绕过账户的 2FA 保护，让攻击者把新设备注册到现有账户中。Dashlane 称，攻击者可能借助自动化工具，快速尝试各种数字组合，在一次性验证码失效前猜中正确序列。

公司表示，目前没有证据显示 Dashlane 自身系统被攻破，但尚未解释攻击者是如何突破其双重验证防线的。Dashlane 已通知受影响用户，不过没有说明这些账户是否被定向挑选，也未披露攻击者身份。

被盗文件仍处于加密状态

Dashlane 称，被下载的密码库本身经过加密，无法直接读取。要解开这些文件，仍需要用户自行设置的主密码。该主密码不会以明文形式上传到 Dashlane，因此公司本身也无法直接提供这一信息。

不过，公司同时提醒，如果用户使用的是较容易猜测的主密码，相关密码库被离线破解的风险会更高。这意味着，即便攻击者拿到的是加密文件，弱密码用户仍可能面临后续风险。

历史案例波及加密资产

密码管理器公司发生大规模数据泄露并不常见，但一旦涉及密码库备份，影响往往持续较久。2022 年，LastPass 曾确认客户密码库备份在一次攻击中被盗。由于部分早期用户的主密码要求较弱，一些密码库随后被暴力破解。

此后，多份报告提到，黑客可能借助被破解的 LastPass 密码库，获取用户保存的加密资产私钥并实施盗窃。更早之前，澳大利亚软件公司 Click Studios 也曾因更新机制被植入恶意程序，要求 Passwordstate 用户重置全部凭证。

补充信息：Dashlane 表示已采取措施降低类似事件再次发生的风险，但暂未披露具体做法，也未说明是否收到勒索要求。