A Dashlane, um dos gestores de palavras-passe mais conhecidos a nível mundial, confirmou ter sido alvo de um ataque de força bruta que culminou no descarregamento de cofres cifrados pertencentes a um pequeno número de utilizadores. O incidente, iniciado a 31 de maio de 2026 e divulgado publicamente nos dias seguintes, não comprometeu os sistemas internos da empresa, mas reabre o debate sobre os limites de segurança destas ferramentas e sobre a importância de uma palavra-passe mestra robusta.
O que aconteceu
Segundo o aviso de segurança publicado pela própria Dashlane, um agente externo lançou no domingo, 31 de maio, uma campanha automatizada contra contas específicas do serviço. O objetivo era contornar a autenticação de dois fatores (2FA) para conseguir registar novos dispositivos em contas já existentes. O elevado volume de tentativas acionou os mecanismos automáticos de defesa, que bloquearam temporariamente as contas visadas — o que explica os emails de suspensão e os problemas de início de sessão relatados por vários utilizadores nos dias seguintes.
A investigação foi concluída a 4 de junho e o aviso atualizado no dia seguinte com novos detalhes. A Dashlane sublinha não ter encontrado qualquer indício de que a sua infraestrutura interna tenha sido comprometida.
Como funcionou o ataque
O atacante concentrou os esforços nos pontos de acesso (API) responsáveis pelo registo de novos dispositivos, submetendo um volume muito elevado de pedidos automatizados. A estratégia consistia em tentar adivinhar, antes de expirarem, os códigos temporários de seis dígitos enviados por email ou gerados pelas aplicações autenticadoras — os tokens que sustentam a verificação em dois passos.
Registar um dispositivo é o passo que dá acesso à sincronização e, com isso, ao descarregamento do cofre cifrado a partir dos servidores. Os controlos automáticos da Dashlane bloquearam grande parte das contas atacadas, mas, antes da contenção total, o agente conseguiu gerar tokens válidos para um conjunto reduzido de contas.
O que ficou exposto
De acordo com a empresa, menos de 20 clientes do plano pessoal tiveram os respetivos cofres cifrados descarregados, num período compreendido entre 31 de maio e 4 de junho. A Dashlane notificou diretamente os utilizadores afetados; quem não recebeu uma notificação específica sobre o risco do cofre não foi abrangido por este descarregamento.
É importante distinguir entre descarregar um cofre e conseguir lê-lo. Os cofres saem cifrados e, sem a palavra-passe mestra, permanecem ilegíveis.
Arquitetura de conhecimento zero: porque importa a palavra-passe mestra
A Dashlane assenta numa arquitetura de conhecimento zero (zero-knowledge): a palavra-passe mestra, que funciona como chave de desencriptação do cofre, nunca é guardada nos servidores da empresa. Isto elimina o roubo de credenciais do lado do servidor como vetor de ataque e significa que, mesmo com o cofre nas mãos de terceiros, o conteúdo só é acessível a quem conhecer essa chave.
A cifragem combina os algoritmos Argon2, AES-256-CBC e HMAC-SHA256, uma conjugação que torna estatisticamente inviável um ataque direto ao cofre — desde que a palavra-passe mestra seja longa, única e difícil de adivinhar. É precisamente aqui que reside o risco residual: uma vez exfiltrado, um cofre cifrado fica sujeito a tentativas de desencriptação offline por tempo indeterminado, e palavras-passe fracas ou reutilizadas anulam, na prática, a proteção da arquitetura.
O histórico recente ilustra o perigo. A TRM Labs alertou que cópias de cofres roubadas na brecha sofrida pela LastPass em 2022 continuavam a ser quebradas em 2025, com associação a roubos de criptomoedas. Ainda este ano, investigadores do ETH Zurique e da Università della Svizzera italiana identificaram fraquezas de conceção em vários gestores de palavras-passe, incluindo a Dashlane — uma análise não relacionada com este ataque, mas que reforça a necessidade de vigilância.
Recomendações para os utilizadores
- Rever a lista de dispositivos registados na conta e remover qualquer entrada desconhecida.
- Garantir que a autenticação de dois fatores está ativa.
- Assegurar que a palavra-passe mestra é longa, única e difícil de adivinhar — e nunca reutilizada noutros serviços.
- Estar atento a notificações de login invulgares e a emails de suspensão de conta.
Porque é que isto importa
Os gestores de palavras-passe continuam a ser uma das ferramentas mais eficazes para a higiene digital de cidadãos e organizações, e este episódio não inverte essa avaliação: a defesa automática funcionou, o impacto foi reduzido e os sistemas internos não foram comprometidos. Mas o caso deixa uma lição clara — a segurança destas plataformas depende, em última análise, da força da palavra-passe mestra escolhida por cada utilizador.
Para o tecido empresarial português, e em particular para as PME, o incidente é um lembrete de que a adoção de boas práticas de autenticação e a sensibilização dos utilizadores são tão importantes como a tecnologia em si. No quadro do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2) e das obrigações de proteção de dados decorrentes do RGPD, a gestão criteriosa de credenciais e a resposta atempada a incidentes assumem um peso crescente.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Dashlane e por publicações especializadas de cibersegurança.