LastPass mengungkapkan bagaimana itu diretas -- dan itu bukan kabar baik

Tahun lalu adalah tahun yang sangat buruk bagi pengelola kata sandi LastPass, karena serangkaian insiden peretasan mengungkapkan beberapa kelemahan serius dalam keamanannya yang dianggap kokoh. Sekarang, kami tahu persis bagaimana serangan itu terjadi - dan faktanya cukup mencengangkan.

Semuanya dimulai pada Agustus 2022, ketika LastPass mengungkapkan bahwa ada aktor ancaman mencuri kode sumber aplikasi. Dalam serangan kedua berikutnya, peretas menggabungkan data ini dengan informasi yang ditemukan dalam pelanggaran data terpisah, lalu mengeksploitasi kelemahan dalam aplikasi akses jarak jauh yang digunakan oleh karyawan LastPass. Itu memungkinkan mereka memasang keylogger ke komputer seorang insinyur senior di perusahaan.

Penggambaran seorang hacker membobol sistem melalui penggunaan kode.
Gambar Getty

Setelah keylogger itu terpasang, peretas dapat meraup kata sandi master LastPass milik insinyur seperti yang dimasukkan, memberi mereka akses ke lemari besi karyawan - dan semua rahasia yang terkandung di dalam.

Terkait

  • Peretas mungkin telah mencuri kunci master ke pengelola kata sandi lain
  • NordPass menambahkan dukungan kunci sandi untuk menghilangkan kata sandi Anda yang lemah
  • Peretas menggali jauh ke dalam pelanggaran keamanan LastPass yang masif

Mereka menggunakan akses itu untuk mengekspor konten lemari besi. Terletak di antara data adalah kunci dekripsi yang diperlukan untuk membatalkan enkripsi cadangan pelanggan yang disimpan di sistem penyimpanan cloud LastPass.

Video yang Direkomendasikan

Itu penting karena LastPass menyimpan cadangan produksi dan cadangan basis data penting di cloud. Sejumlah besar data sensitif pelanggan juga dicuri, meskipun tampaknya para peretas tidak dapat mendekripsinya. Detail halaman dukungan LastPass persis apa yang dicuri.

Transparansi yang dipertanyakan

Beruntung bagi pengguna LastPass, tampaknya data pelanggan yang paling sensitif — seperti (kebanyakan) alamat email dan kata sandi — dienkripsi menggunakan metode tanpa pengetahuan. Itu berarti mereka dienkripsi dengan kunci yang berasal dari kata sandi utama setiap pengguna dan tidak diketahui oleh LastPass. Ketika peretas mencuri data LastPass, mereka tidak dapat memperoleh kunci dekripsi ini karena tidak disimpan di mana pun oleh LastPass.

Konon, banyak data penting diambil oleh aktor ancaman. Itu termasuk cadangan basis data autentikasi multi-faktor LastPass, rahasia API, metadata pelanggan, data konfigurasi, dan banyak lagi. Selain itu, tampaknya banyak produk selain LastPass juga dilanggar.

Pada suatu halaman dukungan, LastPass mengatakan cara serangan kedua dilakukan — dengan menggunakan detail login asli karyawan — membuatnya sulit untuk dideteksi. Pada akhirnya, perusahaan menyadari ada yang salah ketika sistem AWS GuardDuty Alerts memperingatkannya seseorang mencoba menggunakan peran Cloud Identity and Access Management miliknya untuk melakukan tanpa izin aktivitas.

Monitor besar menampilkan peringatan pelanggaran peretasan keamanan.
Depot Stok/Getty Images

LastPass mendapat banyak kritik atas penanganannya terhadap serangan dalam beberapa bulan terakhir, dan ketidaksetujuan itu sepertinya tidak akan mereda mengingat pengungkapan terbaru. Faktanya, satu perusahaan keamanan melangkah lebih jauh dengan mengatakan bahwa LastPass bukanlah aplikasi yang dapat dipercaya dan penggunanya beralih ke pengelola kata sandi yang berbeda.

Saat ini, LastPass tampaknya berusaha menyembunyikan halaman dukungan serangannya dari mesin pencari dengan menambahkan “” kode ke halaman. Itu hanya akan mempersulit pengguna (dan dunia yang lebih luas) untuk mengetahui apa yang terjadi dan tampaknya hampir tidak dilakukan dalam semangat transparansi dan akuntabilitas. Tidak ada yang dipublikasikan di blog perusahaan juga.

Jika Anda pelanggan LastPass, mungkin lebih baik mencari aplikasi alternatif. Untungnya, ada banyak lainnya pengelola kata sandi yang luar biasa luar sana yang andal dapat melindungi informasi penting Anda.

Rekomendasi Editor

  • Kata sandi yang memalukan ini membuat selebritas diretas
  • Tidak, 1Password tidak diretas – inilah yang sebenarnya terjadi
  • Eksploitasi pengelola kata sandi yang besar ini mungkin tidak akan pernah diperbaiki
  • Pengelola kata sandi terbaik untuk tahun 2023
  • Menggunakan LastPass? Anda harus segera beralih, kata perusahaan keamanan

Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.