Dashlane chiarisce il furto di vault e password: cosa è successo davvero

A inizio giugno 2026 Dashlane ha confermato un attacco mirato contro un numero limitato di account: meno di venti casi accertati, ma con una dinamica tecnica che merita attenzione.

Gli aggressori non hanno violato l’infrastruttura aziendale, bensì hanno abusato del meccanismo di registrazione dei dispositivi, aggirando in alcuni casi l’autenticazione a due fattori per sincronizzare copie cifrate dei vault. L’episodio riapre un dibattito che il settore conosce bene, soprattutto dopo il caso LastPass del 2022.

Come sono stati compromessi gli account colpiti

L’attacco è iniziato il 31 maggio 2026 con una campagna mirata su account specifici.

L’obiettivo non era craccare la crittografia, ma registrare nuovi dispositivi come se fossero legittimi, sfruttando le procedure di autenticazione. Una volta associato un dispositivo all’account bersaglio, il sistema ha consentito la sincronizzazione e il download del vault cifrato. I controlli automatici di Dashlane hanno bloccato la maggior parte dei tentativi, ma in alcuni casi gli aggressori hanno completato la procedura con successo.

Il parallelo con LastPass è inevitabile: anche nel 2022 gli attaccanti ottennero copie cifrate degli archivi, poi analizzate offline per recuperare password da vault con master password deboli. La differenza sta nel vettore iniziale: là fu compromessa l’infrastruttura aziendale, qui sono stati presi di mira gli utenti. Il risultato, però, presenta un elemento comune e preoccupante: archivi cifrati disponibili senza limiti di tempo per eventuali tentativi di decifrazione.

Vault cifrato non significa vault illeggibile

Dashlane adotta un modello zero-knowledge: l’azienda non conserva le chiavi per leggere i contenuti degli archivi utente. Il file scaricato dagli aggressori è protetto da algoritmi crittografici e può essere decifrato solo con materiale derivato dalla master password dell’utente. Se questa è lunga, casuale e non riutilizzata altrove, la decifrazione offline diventa computazionalmente proibitiva anche con GPU specializzate.

Il problema emerge quando la password principale è debole o già compromessa in altre violazioni: in quel caso i malintenzionati possono lavorare offline, senza più dipendere dai server del provider. Per chi sospetta una compromissione, le priorità sono tre: cambiare subito la master password, revisionare i dispositivi autorizzati e aggiornare le credenziali più critiche conservate nel vault.

Per prevenire registrazioni fraudolente di nuovi dispositivi, gli esperti raccomandano metodi di autenticazione resistenti agli attacchi automatizzati, come app di autenticazione, passkey o token fisici compatibili FIDO2.

Cosa cambia per chi sceglie un password manager

L’episodio arriva mentre studi accademici pubblicati tra il 2024 e il 2026 evidenziano criticità diffuse nel settore: gestione delle chiavi, schemi crittografici legacy, meccanismi di condivisione.

La sicurezza di un password manager non dipende solo dagli algoritmi di cifratura. Procedure di autenticazione, qualità della master password e resistenza agli attacchi di forza bruta sono elementi altrettanto decisivi. Anche quando il vault resta cifrato, il rischio non scompare: si sposta semplicemente dal server al terreno della crittoanalisi e alla qualità delle abitudini dell’utente.