Keamanan Siber: Pengguna Pengelola Kata Sandi Dashlane Terkunci Akibat Serangan Brute-Force Masif

Layanan pengelola kata sandi (password manager) terkemuka, Dashlane, mengonfirmasi adanya serangan siber bermotif pengisian kredensial secara agresif (credential stuffing/brute-force attacks) yang menargetkan sejumlah akun anggotanya. Insiden ini memicu sistem pertahanan otomatis perusahaan untuk membekukan (suspend) akun-akun terdampak secara massal demi mencegah terjadinya aksi peretasan dan pengambilalihan akun (account hijacking).

Meskipun langkah ini berhasil mengamankan brankas data pengguna, kebijakan penguncian sepihak ini sempat menimbulkan kepanikan dan kebingungan massal di kalangan pelanggan karena akun mereka mendadak tidak dapat diakses sama sekali.

Kronologi Insiden: Hujan Log Masuk dari Perangkat Asing

Gelombang serangan mulai dirasakan oleh para pengguna Dashlane sejak tanggal 31 Mei 2025. Banyak pengguna yang melaporkan di forum Reddit bahwa mereka tiba-tiba menerima surat elektronik (email) notifikasi keamanan resmi dari Dashlane yang berisi kode verifikasi (verification codes) untuk mendaftarkan perangkat baru.

[Alur Sistem Pertahanan Otomatis Dashlane]

Serangan Brute-Force Luar (Percobaan Tebak Sandi Berulang dari Berbagai Negara)
       │
       ▼ [Pemicu Kontrol Keamanan Internal Dashlane]
Sistem Mengirim Email Kode Verifikasi Perangkat Baru ke Pemilik Asli
       │
       ▼ [Ambang Batas Gagal Terlampaui]
[ PROTEKSI AKTIF: Akun Dibekukan (Suspended) / Pengguna Terkunci Keluar ]

• Indikasi Serangan: Email peringatan tersebut menunjukkan adanya percobaan log masuk (login attempts) dari lokasi-lokasi geografis yang sangat jauh di luar negeri serta menggunakan jenis perangkat asing yang tidak dikenal.
• Kebingungan Korban: Karena merasa tidak sedang mencoba masuk ke dalam aplikasi, sejumlah pengguna sempat mengira bahwa email verifikasi tersebut merupakan bagian dari kampanye pengelabuan (phishing campaign) terencana yang mencatut nama Dashlane.
• Mekanisme Brute-Force: Serangan brute-force bekerja dengan memanfaatkan bot otomatis untuk mencoba memasukkan ribuan kombinasi kata sandi secara berurutan pada sebuah akun target hingga menemukan kunci yang cocok. Guna meredam serangan ini, Dashlane mengaktifkan sirkuit pembatasan laju (rate limiting), tantangan CAPTCHA, hingga pembekuan akun darurat begitu ambang batas kegagalan masuk log terlampaui.

Pernyataan Resmi Dashlane: Basis Data Utama Aman

Menanggapi kepanikan yang terjadi di ruang publik, Jordan Fylolenko selaku Senior Director of Corporate Communications Dashlane, memberikan pernyataan resmi dan menegaskan bahwa sasis infrastruktur server utama perusahaan tidak mengalami kebocoran data (no evidence of compromise).

“Kami dapat mengonfirmasi bahwa akun pengguna Dashlane tertentu menjadi sasaran serangan brute-force oleh pihak eksternal, yang mengakibatkan penangguhan akun-akun tersebut sebagai bagian dari kontrol keamanan bawaan Dashlane. Akun yang terdampak saat ini telah dipulihkan kembali,” jelas Jordan.

Berdasarkan halaman indikator status resmi Dashlane, investigasi siber internal mulai dibuka pada tanggal 31 Mei pukul 15.19 UTC. Setelah melacak dan menyaring alamat IP penyerang, pihak perusahaan menandai status insiden sebagai ‘RESOLVED’ (Selesai) pada pukul 22.30 UTC di hari yang sama, sembari mengklaim bahwa seluruh akun yang sempat dibekukan telah dilepaskan status penangguhannya secara bertahap.

Kendala Pasca-Pemulihan dan Keluhan Pengguna

Meskipun dasbor telemetri Dashlane menyatakan bahwa situasi telah sepenuhnya terkendali per tanggal 1 Juni 2025, sejumlah pengguna terpantau masih mengeluhkan kendala teknis di lapangan.

Beberapa pelanggan melaporkan bahwa mereka masih tetap terkunci keluar dari akun utama mereka (login problems) dan tidak bisa mengakses brankas kata sandi penting. Situasi ini diperparah oleh lambatnya respons dari tim penasihat dukungan pelanggan (customer support) Dashlane dalam membalas tiket pengaduan darurat, yang diduga terjadi akibat adanya lonjakan antrean laporan masuk pasca-serangan.

Bagi para pengguna pengelola kata sandi, insiden ini menjadi pengingat penting untuk selalu mengaktifkan fitur otentikasi dua faktor (2FA/MFA) berbasis aplikasi pihak ketiga (seperti Google Authenticator atau kunci keamanan fisik), serta memastikan kata sandi utama (Master Password) yang digunakan bersifat unik dan tidak pernah dipakai ulang di situs web lain mana pun.

Sumber: Dasbor Status Resmi Dashlane