Detail pribadi dan brankas kata sandi yang berisi kredensial masuk jutaan pengguna kini berada di tangan penjahat. Jika Anda pernah menggunakan pengelola kata sandi, LastPass, Anda harus mengubah semua kata sandi Anda untuk semuanya, sekarang. Dan Anda harus segera mengambil tindakan lebih lanjut untuk melindungi diri Anda sendiri.
Apa yang Terjadi pada Pelanggaran Data LastPass 2022?
LastPass adalah layanan manajemen kata sandi yang beroperasi pada model "freemium". Pengguna dapat menyimpan semua kata sandi dan login mereka untuk layanan online dengan LastPass, dan mengaksesnya melalui antarmuka web, melalui add-on browser, dan melalui aplikasi smartphone khusus.
Kata sandi disimpan di "brankas", yang dilindungi oleh satu kata sandi utama.
Pada Agustus 2022, LastPass mengumumkan bahwa penjahat telah menggunakan akun pengembang yang disusupi untuk mengakses lingkungan pengembangan, kode sumber, dan informasi teknis LastPass.
Detail lebih lanjut dirilis pada November 2022, ketika LastPass menambahkan bahwa beberapa data pelanggan telah diungkapkan.
Tingkat keparahan pelanggaran yang sebenarnya terungkap pada 22 Desember, ketika a Posting blog LastPass mencatat bahwa penjahat telah menggunakan beberapa informasi yang diperoleh dalam serangan sebelumnya untuk mencuri data cadangan termasuk nama pelanggan, alamat dan nomor telepon, alamat email, alamat IP, dan sebagian kartu kredit angka. Selain itu, mereka berhasil mencuri brankas kata sandi pengguna yang berisi URL situs web dan nama situs yang tidak terenkripsi, serta nama pengguna dan kata sandi terenkripsi.
Apakah Sulit bagi Penjahat untuk Meretas Kata Sandi Master LastPass Anda?
Secara teoritis, ya, peretas akan kesulitan memecahkan kata sandi utama Anda. Posting blog LastPass mencatat bahwa jika Anda menggunakan pengaturan standar yang direkomendasikan, "diperlukan jutaan tahun untuk menebak kata sandi utama Anda menggunakan teknologi peretasan kata sandi yang tersedia secara umum."
LastPass membutuhkan kata sandi utama minimal 12 karakter, dan merekomendasikan "agar Anda tidak pernah menggunakan kembali kata sandi utama Anda di situs web lain."
Namun, LastPass unik di antara layanan manajemen kata sandi karena memungkinkan pengguna untuk mengatur petunjuk kata sandi untuk mengingatkan mereka tentang kata sandi utama mereka jika mereka kehilangannya.
Secara efektif, ini mendorong pengguna untuk menggunakan kata dan frasa kamus sebagai bagian dari kata sandi mereka, daripada kata sandi kuat yang benar-benar acak. Tidak ada petunjuk kata sandi yang akan membantu jika kata sandi Anda adalah "lVoT=.N]4CmU".
Gudang kata sandi LastPass telah berada di tangan penjahat selama beberapa waktu sekarang, dan meskipun dienkripsi, pada akhirnya mereka akan tunduk pada serangan brute force.
Penyerang akan menemukan pekerjaan mereka lebih mudah berkat adanya database besar kata sandi yang umum digunakan. Anda dapat mengunduh daftar kata sandi 17GB yang terdiri dari 613 juta kata sandi paling umum haveibeenpwned, contohnya. Daftar kata sandi dan kredensial lainnya tersedia di web gelap.
Untuk mencoba masing-masing dari setengah miliar kunci paling umum terhadap satu lemari besi akan memakan waktu beberapa menit, dan meskipun relatif sedikit akan menjadi 12 karakter yang diperlukan, kemungkinan penjahat dunia maya akan dapat dengan mudah membobol proporsi yang baik kubah.
Tambahkan fakta bahwa daya komputasi meningkat dari tahun ke tahun, dan bahwa penjahat yang termotivasi dapat menggunakan jaringan terdistribusi untuk membantu upaya tersebut; "jutaan tahun" tampaknya tidak layak untuk sebagian besar perhitungan.
Apakah Pelanggaran LastPass Hanya Mempengaruhi Kata Sandi?
Meskipun berita utamanya adalah bahwa penjahat dapat meluangkan waktu untuk membobol lemari besi LastPass Anda, mereka dapat memanfaatkannya Anda dengan cara lain dengan menggunakan nama, alamat, nomor telepon, alamat email, alamat IP, dan sebagian kartu kredit Anda nomor.
Ini dapat digunakan untuk sejumlah tujuan jahat termasuk serangan spearphishing terhadap Anda dan kontak Anda, pencurian identitas, mengambil kredit dan pinjaman atas nama Anda, dan serangan pertukaran SIM.
Bagaimana Cara Melindungi Diri Anda Setelah Pelanggaran Data LastPass?
Anda harus berasumsi bahwa dalam beberapa tahun, kata sandi utama Anda akan disusupi dan semua kata sandi yang ada di dalamnya akan diketahui oleh penjahat. Anda harus mengubahnya sekarang, dan menggunakan kata sandi unik yang belum pernah Anda gunakan sebelumnya, dan yang tidak ada dalam daftar kata sandi yang umum digunakan.
Sehubungan dengan penjahat data lain yang diperoleh dari LastPass, Anda harus membekukan kredit Anda, dan libatkan layanan pemantauan kredit untuk memantau aplikasi kartu atau pinjaman baru atas nama Anda. Jika Anda dapat mengubah nomor telepon Anda tanpa terlalu banyak kesulitan, Anda juga harus melakukannya.
Ambil Tanggung Jawab atas Keamanan Anda Sendiri
Sangat mudah untuk menyalahkan LastPass atas pelanggaran data yang membuat brankas kata sandi dan detail pribadi Anda jatuh ke tangan penjahat, tetapi layanan manajemen kata sandi yang mengamankan hidup Anda dan membantu Anda menghasilkan kombo unik masih merupakan cara terbaik untuk mengamankan online Anda kehidupan.
Salah satu cara untuk mempersulit calon pencuri mendapatkan data penting Anda adalah dengan menghosting pengelola kata sandi di perangkat keras Anda sendiri. Ini murah, mudah dilakukan, dan beberapa solusi, seperti VaultWarden, bahkan dapat digunakan di Raspberry Pi Zero.