LastPass adalah nama terkenal dan tepercaya dalam keamanan kata sandi, namun riwayat pelanggarannya mungkin membuat Anda mempertimbangkan alternatif lain.

Poin Penting

  • LastPass telah mengalami beberapa pelanggaran data di masa lalu, termasuk satu pelanggaran pada tahun 2015 yang mengungkap email pengguna dan kata sandi utama. Namun, sebagian besar pengguna yang menggunakan lapisan keamanan ekstra kemungkinan besar aman dari pelanggaran tersebut.
  • LastPass menghadapi kritik pada tahun 2021 ketika ditemukan bahwa aplikasi Android mereka berisi pelacak pihak ketiga, sehingga meningkatkan kekhawatiran tentang keamanan. LastPass merespons dengan menyatakan bahwa pelacak digunakan untuk telemetri aplikasi dan dapat dinonaktifkan oleh pengguna.
  • LastPass mengalami pelanggaran signifikan pada tahun 2022, ketika penyerang mengakses data pelanggan dan informasi brankas pengguna. Pelanggaran ini menimbulkan konsekuensi lebih lanjut bagi LastPass dan perusahaan induknya, GoTo, termasuk pencurian cadangan terenkripsi dan bukti kunci enkripsi yang diakses.
    • instagram viewer
  • Secara keseluruhan, meskipun LastPass secara umum dianggap aman, berbagai pelanggaran dan insiden keamanan telah menyebabkan beberapa pengguna mencari pengelola kata sandi alternatif yang belum disusupi.

Banyak dari kita menggunakan pengelola kata sandi untuk menjaga keamanan data pribadi, dengan LastPass menjadi salah satu opsi paling populer di luar sana. Namun LastPass sering mengalami pelanggaran data, sehingga membahayakan informasi sensitif pelanggan.

Lantas, sudah berapa kali LastPass diretas, dan apakah masih aman digunakan?

1. Pelanggaran LastPass 2015

Kredit Gambar: Ervins Strauhmanis/Flickr

Peretasan LastPass pertama terjadi pada bulan Juni 2015, tujuh tahun setelah pendirian perusahaan. Pelanggaran parah ini mengungkap email dan kata sandi utama pengguna LastPass, serta kata-kata petunjuk atau pengingat yang digunakan untuk mengingat kata sandi utama. Peretasan tersebut diketahui ketika LastPass mendeteksi aktivitas jaringan yang mencurigakan, yang segera diblokir. Namun, beberapa kerusakan telah terjadi.

Di sebuah catatan yang sekarang sudah habis masa berlakunya kepada pelanggan (tersedia melalui Internet Archive), LastPass memberi tahu pengguna bahwa mereka yang menggunakan lapisan keamanan tambahan seperti hashing dan salting pada kata sandi mereka kemungkinan besar aman dari peretasan. Untungnya, sebagian besar pengguna LastPass menggunakan metode keamanan ini, yang berarti hanya sebagian kecil pelanggan yang berpeluang terkena dampaknya.

LastPass juga menyatakan bahwa mereka tidak yakin ada akun pengguna yang diakses karena serangan tersebut tetapi mendesak pengguna untuk memverifikasi alamat email mereka dan memperbaruinya setiap minggu atau berulang kali menggunakan kata sandi utama untuk meningkatkan keamanan.

Beberapa minggu setelah peretasan, LastPass menerbitkan postingan blog menyatakan bahwa keamanannya telah meningkat sejak peretasan, dengan serangkaian perubahan kecil dan besar dilakukan untuk lebih melindungi pelanggan. Termasuk dalam perubahan ini adalah pengenalan Modul Keamanan Perangkat Keras (HSM), yang melindungi infrastruktur kriptografi LastPass.

2. Insiden Pelacakan LastPass 2021

Meskipun LastPass tidak diretas pada tahun 2021, LastPass mengalami masalah ketika aplikasi Android-nya ditemukan berisi pelacak pihak ketiga. Pada bulan Februari 2021, aplikasi analisis keamanan bernama Exodus Privacy mengungkapkan bahwa mereka telah menemukan tujuh pelacak di aplikasi Android LastPass, sehingga memicu kecurigaan di kalangan pengguna. Peneliti keamanan Mike Kuketz mengomentari penemuan tersebut di a Entri blog Keamanan TI Kuketz, menyatakan bahwa "sepenuhnya mustahil untuk mengintegrasikan [iklan dan pelacak] ke dalam aplikasi pengelola kata sandi."

Kuketz juga mencantumkan tujuh pelacak yang ditemukan di aplikasi Android LastPass, termasuk pelacak dari Google Analytics, Segment, dan AppsFlyer. Memberikan akses ke platform analitik pemasaran dengan cara ini dikecam oleh Kuketz, yang menulis bahwa pendekatan LastPass "sangat dipertanyakan dalam hal keamanan."

Kuketz menggarisbawahi bahwa aplikasi Android LastPass perlu diperiksa secara manual untuk mengetahui apakah pelacak secara aktif mengawasi pengguna. Namun, kehadiran pelacak saja, menurut Kuketz, merupakan praktik buruk bagi aplikasi yang perlu memprioritaskan keamanan.

Menanggapi kritik ini, LastPass memberi tahu pengguna bahwa ia memang menggunakan alat analisis. LastPass menekankan bahwa hal ini dilakukan untuk mendapatkan wawasan tentang "telemetri aplikasi, data pelaporan kesalahan dan kerusakan, serta informasi statistik penggunaan tingkat tinggi untuk pada akhirnya meningkatkan kinerja, keandalan, dan kegunaan [the aplikasi]."

Disebutkan juga bahwa elemen analitik pada aplikasi LastPass adalah fitur opsional yang dapat dinonaktifkan pengguna di pengaturan lanjutan mereka. Namun terlepas dari ini, kehadiran pelacak di aplikasi Android LastPass meninggalkan rasa tidak enak di mulut para analis keamanan dan pengguna.

3. Pelanggaran LastPass 2022

Butuh beberapa waktu bagi LastPass untuk mengalami serangan siber lainnya setelah insiden awal tahun 2015. Namun pada tahun 2022, serangan lain memang datang. Ini adalah tahun yang sangat sulit bagi LastPass, dengan peretasan awal pada bulan Agustus yang menyebabkan gelombang kejutan yang akan berlanjut hingga tahun 2023.

Pada awal Agustus 2022, LastPass menyadari adanya pelanggaran di mana seorang peretas telah menyusupi laptop pengembang LastPass untuk mencuri kode sumber dan mengakses platform pengembangan berbasis cloud perusahaan. Peretas melewati keamanan autentikasi multifaktor pada akun teknisi dengan berhasil mengautentikasi dirinya sebagai pengguna. Meskipun ini adalah insiden yang sangat memprihatinkan, peretas tidak mengambil informasi pelanggan.

Namun beberapa bulan kemudian, keadaan menjadi lebih buruk. Pada bulan Desember 2022, LastPass mengumumkan bahwa peretasan pada bulan Agustus telah memberikan penyerang jalan ke area infrastruktur yang lebih sensitif, yang pertama kali dieksploitasi pada bulan November. Kali ini, peretas mengakses data pelanggan LastPass, termasuk email dan alamat IP, nomor telepon, dan nama. Selain itu, jenis data brankas pengguna tertentu juga terungkap, termasuk nama pengguna dan kata sandi yang disimpan untuk akun online.

Tak perlu dikatakan lagi, LastPass sekarang berada dalam kondisi yang sangat panas, dan segalanya tidak akan berhenti pada tahun 2023.

Efek Samping Tahun 2023

Meskipun tahun 2023 tidak menghadirkan peretasan baru untuk LastPass, hal ini membawa informasi yang semakin meresahkan tentang eksploitasi tahun 2022.

Pada Januari 2023, perusahaan induk LastPass, GoTo, merilis pernyataan tentang konsekuensi peretasan tahun 2022. pernyataan GoTo menjelaskan bahwa beberapa layanan perusahaan lainnya, termasuk Central, Hamachi, Pro, join.me, dan RemotelyAnywhere, juga menjadi sasaran penyerang melalui perangkat penyimpanan cloud pihak ketiga. Dari perangkat ini, penyerang mencuri cadangan terenkripsi. Terlebih lagi, GoTo mengungkapkan bahwa mereka telah menemukan bukti yang menunjukkan bahwa kunci enkripsi untuk beberapa cadangan yang dicuri juga telah diakses.

Pada bulan Februari 2023, LastPass kembali menjadi berita utama ketika terungkap bahwa, antara peretasan pertama dan kedua pada tahun 2022, lebih banyak tindakan jahat yang dilakukan oleh penyerang.

Seperti yang didokumentasikan pada postingan X di atas, para hacker November 2022 menyusupi komputer rumah pengembang senior LastPass melalui kerentanan media perangkat lunak. Setelah meretas komputer, peretas memasang keylogger, memungkinkan mereka melihat apa yang diketik pengembang di keyboard mereka.

Hal ini memberi penyerang akses ke kata sandi utama brankas perusahaan LastPass milik pengembang, sehingga memungkinkan penyerang mengakses brankas itu sendiri. Yang mengejutkan di sini adalah hanya empat pengembang senior LastPass yang memiliki akses ke brankas perusahaan, dan penyerang masih berhasil menargetkan satu pengembang tersebut.

Peretas juga menggunakan kredensial pengguna yang dicuri pada tahun 2022 untuk mencuri mata uang kripto senilai $4,4 juta pada Oktober 2023. Diperkirakan para penyerang mengakses frase dan kunci awal dompet kripto pada pelanggaran kedua tahun 2022, memungkinkan mereka meretas dompet dan menarik kripto ke alamat yang mereka inginkan.

LastPass memiliki daftar lengkap data yang diakses dalam peretasan tahun 2022 jika Anda ingin melihat semua yang terungkap akibat insiden tahun 2022.

Apakah LastPass Masih Aman Digunakan?

Meskipun LastPass telah beroperasi sejak tahun 2008, sebagian besar pelanggaran data dan insiden keamanan terjadi pada tahun 2020-an. Mengingat banyaknya masalah keamanan di masa lalu, wajar jika Anda merasa sedikit gugup saat menggunakan LastPass, jadi apa keputusannya di sini? Apakah LastPass aman digunakan, atau haruskah Anda memilih yang lain?

Meskipun lebih aman menggunakan LastPass daripada aplikasi catatan sederhana atau opsi penyimpanan serupa, mungkin ada pengelola kata sandi yang lebih baik saat ini. Dengan begitu banyak gangguan pada catatan keamanannya, LastPass sudah menjadi hal yang dilarang bagi banyak orang, karena tidak ada yang tahu kapan pelanggaran lain akan terjadi. Karena tahun 2022 menyebabkan begitu banyak masalah bagi LastPass dan penggunanya, tidak mengherankan jika beberapa pengguna melompat dan memilih pengelola kata sandi yang belum diretas.

Dashlane dan NordPass hanyalah dua contoh pengelola kata sandi bereputasi tinggi yang tidak pernah mengalami pelanggaran keamanan, jadi tentu saja mungkin untuk menemukan pengelola kata sandi yang data pelanggan atau portal karyawannya belum terekspos peretas.

Jika saat ini Anda menggunakan LastPass tetapi ingin beralih ke tempat lain, lihat panduan kami menghapus akun LastPass Anda. Kami juga memiliki panduan praktis tentang pengelola kata sandi teraman jika Anda memerlukan bantuan memilih penggantinya.

Namun, insiden keamanan LastPass tidak menjadikannya pengelola kata sandi yang tidak aman. Aplikasi ini masih memiliki banyak fitur berguna untuk melindungi kredensial sensitif dan mudah digunakan terlepas dari kemahiran teknologi.

LastPass Bukan Raja Manajemen Kata Sandi

Tidak ada salahnya menggunakan LastPass untuk menyimpan kata sandi, karena aplikasi ini secara umum cukup aman. Namun, perlu diperhatikan alternatif super aman yang tersedia jika Anda ingin memastikan informasi sensitif Anda disimpan seefektif mungkin.