Informasi pengguna LastPass telah terungkap dalam pelanggaran data

Apa yang baru saja terjadi? LastPass, pengelola kata sandi populer dengan lebih dari 33 juta pelanggan dan 100.000 pengguna bisnis, telah diretas lagi. Perusahaan mengatakan bahwa tidak seperti terakhir kali, data pengguna terungkap dalam insiden terbaru ini, tetapi perusahaan menyatakan bahwa kata sandi tidak disusupi.

CEO LastPass Karim Touba menulis bahwa LastPass baru-baru ini mendeteksi aktivitas yang tidak biasa dalam layanan penyimpanan cloud pihak ketiga yang saat ini digunakan oleh organisasi dan afiliasi GoTo.

Ditentukan bahwa peretas memperoleh akses ke “item tertentu” dari data pelanggan. Ini dicapai dengan menggunakan informasi yang diperoleh dari peretasan LastPass pada bulan Agustus ketika penjahat dunia maya mengambil bagian dari kode sumber internal situs dan dokumentasi untuk informasi teknis yang sesuai. Peretas memperoleh akses pada kesempatan itu menggunakan akun pengembang yang dikompromikan dan mengintai sistem selama empat hari sebelum ditemukan dan di-boot.

Kami baru-baru ini mendeteksi aktivitas yang tidak biasa dalam layanan penyimpanan cloud pihak ketiga, yang saat ini dibagikan oleh LastPass dan anak perusahaannya, GoTo. Kata sandi pelanggan tetap terenkripsi dengan aman karena arsitektur tanpa pengetahuan LastPass. Info lebih lanjut: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK

– LastPass (LastPass) 30 November 2022

Jelas, setiap pelanggaran keamanan pengelola kata sandi akan menimbulkan kekhawatiran tentang kata sandi yang dicuri, tetapi LastPass menyatakan bahwa ini tetap aman berkat arsitektur Zero Knowledge-nya, yang memastikan bahwa hanya pengguna yang mengetahui kata sandi utama dan enkripsi hanya terjadi pada tingkat perangkat. Dengan demikian, LastPass tidak menyarankan pengguna untuk mengubah kata sandi mereka.

Toba mengatakan LastPass terus bekerja untuk memahami ruang lingkup insiden dan mengidentifikasi informasi spesifik yang diakses. Firma keamanan terkemuka Mandiant telah terlibat dan menyiagakan penegak hukum.

Meskipun ini adalah perangkat lunak yang sangat populer dan perangkat lunak yang luar biasa, ini menandai kesempatan lain di mana praktik keamanan LastPass dipertanyakan. Pada 2019, perusahaan memperbaiki kerentanan yang memungkinkan peretas mengorek detail login dari situs yang terakhir dikunjungi pengguna. Ada juga kerentanan keamanan di ekstensi browser pada 2017.

Pada bulan Desember, pengguna LastPass melaporkan bahwa orang mencoba masuk ke akun mereka dari situs yang tidak dikenal menggunakan kata sandi utama yang valid. Perusahaan mengklaim bahwa ini kemungkinan besar disebabkan oleh pelanggan yang menggunakan kembali kata sandi di beberapa situs.

Jika Anda adalah pengguna LastPass yang mengkhawatirkan insiden ini, mengunduh aplikasi autentikator untuk membantu melindungi akun Anda dengan meminta kode autentikasi dua faktor saat masuk menambahkan lapisan perlindungan tambahan.