Perusahaan induk dari layanan pengelola kata sandi, LastPass, yang pada akhir 2022 mengungkapkan bahwa brankas kata sandi dari seluruh basis pelanggan sekarang berada di tangan penjahat, telah mengumumkan bahwa kunci enkripsi untuk beberapa produk lainnya telah dikompromikan juga.
Apa artinya ini bagi penggunanya?
Apa Pelanggaran Data LastPass 2022?
LastPass dan pelanggannya tidak memiliki tahun terbaik di tahun 2022. Pada bulan Agustus, perusahaan mengumumkan secara bersahaja posting blog bahwa penjahat telah mengakses lingkungan pengembangan LastPass, kode sumber, dan informasi teknis. Bahasanya meyakinkan, dan menyebut "aktivitas yang tidak biasa" dan kejadian itu sebagai "suatu perkembangan". Bagian FAQ meyakinkan pelanggan bahwa brankas, kata sandi, dan kata sandi utama mereka aman, sambil menyatakan, "kami tidak menyarankan tindakan apa pun atas nama pengguna atau administrator kami".
Sebulan kemudian, setelah investigasi bermitra dengan Mandiant, postingan blog asli diperbarui, untuk lebih menghibur pengguna LastPass bahwa di sana adalah, "tidak ada bukti bahwa insiden ini melibatkan akses apa pun ke data pelanggan atau brankas kata sandi terenkripsi", dan selanjutnya melindungi pengguna dengan pengakuan bahwa, "insiden keamanan dalam bentuk apa pun meresahkan tetapi [kami] ingin meyakinkan Anda bahwa data pribadi dan kata sandi Anda aman di kami peduli."
Namun, pada akhir November 2022, blog tersebut diperbarui lagi, dengan pengakuan bahwa penyusup telah berhasil kabur dengan, "elemen tertentu dari informasi pelanggan kami".
Akhirnya, dalam pembaruan Desember 2022, LastPass dimiliki fakta bahwa penjahat telah berhasil mengeksfiltrasi brankas data pribadi jutaan pelanggan, yang berisi URL situs web dan nama situs yang tidak terenkripsi, serta nama pengguna dan kata sandi terenkripsi, bersama dengan data cadangan termasuk nama pelanggan, alamat dan nomor telepon, alamat email, alamat IP, dan kartu kredit parsial angka.
Sekali lagi, LastPass berusaha untuk mengatasi kerusakan reputasi, dengan menyatakan bahwa, "diperlukan jutaan tahun untuk menebak kata sandi utama Anda menggunakan teknologi pembobol kata sandi yang tersedia secara umum."
Lebih Buruk untuk Pengguna LastPass?
LastPass adalah sebuah perusahaan independen, dimiliki oleh GoTo (penyedia SaaS, sebelumnya dikenal sebagai LogMeIn), dan sementara pelanggaran LastPass telah mengumpulkan paling banyak perhatian, penetrasi awal adalah layanan penyimpanan cloud pihak ketiga, yang digunakan oleh GoTo dan LastPass. Karena LastPass dikompromikan, begitu pula GoTo. Pelaku ancaman berhasil mengekstrak cadangan terenkripsi dari kedua perusahaan.
Pada tanggal 23 Januari 2023, GoTo merilis pernyataan di blognya menyatakan bahwa ia memiliki "bukti bahwa pelaku ancaman mengeksfiltrasi kunci enkripsi untuk sebagian dari cadangan terenkripsi", dan selain itu Pengaturan Multi-Factor Authentication (MFA). sebagian kecil pelanggan mereka terkena dampaknya.
Artinya, para penjahat dapat dengan mudah mendekripsi barang curian mereka tanpa perlu menunggu jutaan tahun untuk melakukannya.
Tidak pasti apakah kunci enkripsi lemari besi LastPass juga telah dieksfiltrasi.
Laporan Vault LastPass Disusupi
Hampir segera setelah pembaruan Desember diterbitkan, MUO dihubungi oleh pembaca yang mengklaim kata sandi satu kali itu disimpan hanya di brankas LastPass yang digunakan oleh penjahat untuk mengakses akun online, mengakibatkan pertukaran SIM serangan.
Di Twitter, pengguna melaporkan bahwa dompet kripto diserang dan isinya dikuras—benih tersebut dilaporkan hanya disimpan di brankas LastPass.
Hingga saat ini, LastPass belum membahas rumor tersebut, maupun pengungkapan perusahaan induknya.
GoTo setidaknya sudah mulai menghubungi pengguna yang terpengaruh dan semua kata sandi telah diatur ulang secara otomatis.
Ubah Kata Sandi Anda untuk Semuanya
Layanan manajemen kata sandi ada untuk menjaga kata sandi Anda tetap aman dan tidak dapat ditebak. Jika penjahat memiliki kunci lemari besi itu, maka kata sandi Anda dapat digunakan siapa saja sesuai keinginan.
Hal pertama yang harus Anda lakukan adalah mengubah kata sandi Anda untuk setiap layanan yang pernah Anda akses secara online. Jika memungkinkan, Anda juga harus menggunakan nama pengguna dan alamat email yang unik.
Tidak pernah merupakan ide yang baik untuk mempercayakan rahasia terdalam Anda kepada orang lain untuk dijaga. BitWarden adalah pengelola kata sandi yang dapat Anda hosting di perangkat keras Anda sendiri, dan yang akan menghasilkan nama pengguna, alias email, dan kata sandi untuk setiap situs yang Anda kunjungi. Saat Anda menjalankannya di mesin Anda sendiri, Anda tidak perlu menyerahkan kata sandi Anda kepada perawatan yang meragukan dari perusahaan lain.