قراصنة يخترقون المصادقة الثنائية ويسرقون خزنات كلمات المرور Dashlane

كشف Dashlane عن هجوم إلكتروني أسفر عن سرقة خزنات كلمات مرور مشفرة لنحو 20 حساباً بعد كسر حماية المصادقة الثنائية بهجوم القوة الغاشمة، في حادثة تُستدعى فيها ذكرى اختراق LastPass.

تحرير
ألمعي · هيئة التحرير
النشر
٣ يونيو ٢٠٢٦
المصدر
TechCrunch
القراءات
٠
الوقت
قراءة دقيقتين
تصوير رمزي لكلمات مرور رقمية

كشف مدير كلمات المرور Dashlane عن تعرّضه لهجوم إلكتروني خطير في نهاية مايو 2026 أسفر عن سرقة خزنات كلمات مرور مشفرة تعود لنحو 20 حساباً من حسابات عملائه. وتكمن خطورة الحادثة في أن المهاجمين نجحوا في تجاوز المصادقة الثنائية التي تُعدّ من أهم خطوط الدفاع في منظومة أمان الحسابات الرقمية.

وفق ما كشفه Dashlane، اعتمد المهاجمون على هجوم القوة الغاشمة لتخمين رموز التحقق المؤقتة المرسلة في إطار المصادقة الثنائية. إذ استخدموا برمجيات آلية لتجربة آلاف التوليفات الرقمية في وقت قياسي مستغلين أي نافذة زمنية قبل انتهاء صلاحية الرمز. وبمجرد كسر الحماية، تمكن المهاجمون من تسجيل أجهزة جديدة على حسابات الضحايا وتنزيل الخزنات المشفرة الخاصة بهم.

اللافت أن كلمات المرور الرئيسية للعملاء لم تُسرق، إذ تُخزَّن محلياً على جهاز المستخدم ولا ترفعها Dashlane إلى خوادمها. بمعنى آخر، ما تحصّل عليه المهاجمون هو خزنة مشفرة لا تُقرأ دون المفتاح الرئيسي. غير أن الخطر الحقيقي يكمن في احتمال أن يملك بعض الضحايا كلمات مرور رئيسية ضعيفة أو قصيرة مما قد يُفضي مستقبلاً إلى فك تشفير هذه الخزنات.

تتشابه هذه الحادثة مع اختراق LastPass الشهير عام 2022، حين جرى سرقة نسخ احتياطية من خزنات العملاء المشفرة ثم تمكّن مهاجمون لاحقاً من فك تشفير عدد منها وسرقة عملات مشفرة بقيمة ملايين الدولارات. وهي حادثة لا تزال تلقي بظلالها على ثقة المستخدمين في أدوات إدارة كلمات المرور.

أعلنت Dashlane أنها علّقت تلقائياً الحسابات المتضررة فور رصد النشاط غير المعتاد، وأنها لا تمتلك دليلاً على اختراق أنظمتها الداخلية. وقالت الشركة إنها لا تزال تحقق في كيفية تجاوز المهاجمين لمنظومة المصادقة الثنائية تحديداً، وهو سؤال لم تُجب عنه بصورة كاملة حتى وقت نشر هذا التقرير.

تُثير هذه الحادثة تساؤلات جدية حول مدى كفاية أنظمة المصادقة الثنائية المعتمدة على الرموز الرقمية المؤقتة أمام هجمات القوة الغاشمة الآلية. ويُشير خبراء الأمن السيبراني إلى أن مفاتيح الأمان المادية أو المصادقة البيومترية تُوفر حماية أكثر صلابة أمام هذا النوع من الهجمات.

تتضاعف أهمية هذا التحذير في منطقتنا العربية مع التوسع المتسارع في التجارة الإلكترونية والخدمات المصرفية الرقمية، ولا سيما في السعودية ومصر والإمارات حيث يرتفع عدد مستخدمي تطبيقات إدارة كلمات المرور بوتيرة متسارعة. وقد رصدت هيئة الأمن السيبراني الوطنية السعودية (NCA) وهيئة تنظيم الاتصالات الإماراتية ارتفاعاً في هجمات الاستيلاء على الحسابات خلال السنوات الأخيرة. وتذكّر حادثة Dashlane بأن أمان منظومة الحفظ الرقمي لا يكون أقوى من أضعف حلقاتها، وهو درس ينبغي إدراجه في برامج التوعية السيبرانية الموجهة للمستخدمين العرب.

بالنسبة للعملاء المتضررين، تنصح Dashlane بتغيير كلمة المرور الرئيسية فوراً إن كانت ضعيفة أو قصيرة، وتفعيل خيارات المصادقة الأكثر أماناً. أما للمستخدمين عموماً فتُذكّر هذه الحادثة بأن أمان أي منظومة للحفظ الرقمي لا يكون أقوى من أضعف حلقاتها، وأن اختيار كلمة مرور رئيسية قوية وفريدة يظل الدرع الأول في مواجهة الاختراق.

المصدر الأصلي
TechCrunch
قراءة المقال الأصلي ↗
قصة اليوم · كل صباح

أعجبك التقرير؟ استلم واحداً كل صباح.

قصةٌ تقنية واحدة تستحقّ وقتك، بالعربية. بلا إعلانات، بلا إزعاج.

بلا إعلانات · إلغاء الاشتراك بنقرة واحدة · بياناتك آمنة

اقرأ أيضًا

المزيد من أمن

إعصار في سماء مشحونة بالعواصف

حين يُزوَّر الطقس: خطر متصاعد يهدد أنظمة التنبؤ المدفوعة بالذكاء الاصطناعي

خبراء يُحذّرون من تنامي خطر التلاعب ببيانات محطات الطقس في عصر النماذج المدفوعة بالبيانات، مستشهدين بحادثة موثّقة في مطار شارل ديغول أكسبت محتالين آلاف الدولارات عبر أسواق التنبؤ.

MIT Technology Review
رمز مجموعة القرصنة Scattered Spider المتخصصة في هجمات الهندسة الاجتماعية

المملكة المتحدة تسجن قراصنة Scattered Spider خلّفوا خسائر 47 مليون دولار

أصدرت محاكم المملكة المتحدة أحكاماً بسجن شابَّين ثبت انتماؤهما لمجموعة القرصنة Scattered Spider، إثر اختراقهما أنظمة هيئة نقل لندن وتعطيل خدمات المترو لأسابيع عدة.

TechCrunch
منشأة إنتاج شركة Fairlife التابعة لكوكا كولا

هجوم فدية يُوقف إنتاج Fairlife الألبانية التابعة لكوكا كولا في أمريكا

كشفت شركة كوكا كولا في إفصاح رسمي لهيئة الأوراق المالية عن تعرّض فرعها الألباني Fairlife لهجوم برمجيات فدية أوقف عمليات الإنتاج بالكامل في الولايات المتحدة.

TechCrunch
ثغرات أمنية في نظام ويندوز

مايكروسوفت تُصدر تصحيحات قياسية لـ570 ثغرة أمنية بمساعدة الذكاء الاصطناعي

في ثلاثاء التصحيحات ليوليو 2026، أصدرت مايكروسوفت رقماً قياسياً من إصلاحات الأمان بلغ 570 ثغرة منها ثغرتان نشطتان، مستندةً إلى الذكاء الاصطناعي في الكشف عنها بوتيرة غير مسبوقة.

TechCrunch
نموذج جي بي تي ريد يختبر ثغرات أمان الذكاء الاصطناعي

جي بي تي ريد: النموذج الهاكر الذي طوّرته أوبن إيه آي لتعزيز أمان نماذجها

أوبن إيه آي تكشف عن نموذج ذكاء اصطناعي مخصّص لمهاجمة نماذجها الأخرى واكتشاف ثغراتها، فأسهم في خفض نسبة الهجمات الناجحة من 90% إلى أقل من 23% على أحدث نماذجها.

MIT Technology Review
شعار شركة آبل في قضية سرقة الأسرار التجارية ضد OpenAI

آبل تقاضي OpenAI: موظف سابق استغلّ ثغرة اليوم الصفري لسرقة أسرارها

تدّعي آبل أن موظفاً سابقاً استغلّ ثغرة أمنية مجهولة للوصول إلى ملفات سرية بعد انضمامه إلى OpenAI، في قضية تُلقي الضوء على مخاطر التجسس الصناعي في سوق الذكاء الاصطناعي.

TechCrunch