Keamanan & Privasi
Diposting pada 12 Januari 2023 oleh Joshua Long
Selama beberapa minggu terakhir, berita tentang pelanggaran keamanan di LastPass berubah dari buruk, menjadi lebih buruk, menjadi mengerikan.
LastPass mengembangkan aplikasi pengelola kata sandi populer dengan nama yang sama. Outlet berita BleepingComputer mengetahui pada Agustus 2022 bahwa LastPass telah mengalami pelanggaran keamanan. Pembaruan selanjutnya dari LastPass telah mengungkapkan informasi baru karena penyelidikan perusahaan atas pelanggaran tersebut berlanjut.
Berikut adalah garis waktu peristiwa, dan semua yang kami ketahui sejauh ini tentang pelanggaran keamanan LastPass. Kami juga akan membahas bagaimana hal ini memengaruhi pengguna LastPass yang sudah ada, dan apakah masih aman untuk menggunakan LastPass.
Dalam artikel ini:
Garis waktu peristiwa
- awal/pertengahan Agustus 2022 – LastPass diretas; BleepingComputer mempelajari pelanggaran dari “orang dalam”
- 21 Agustus 2022 – BleepingComputer menghubungi LastPass tentang dugaan pelanggaran, tidak menerima balasan
- 25 Agustus 2022 – LastPass merilis penasehat, menyatakan peretas mengakses “informasi… teknis hak milik” melalui akun pengembang LastPass yang disusupi; pelanggaran klaim terkandung
- 30 November 2022 – LastPass merevisi pernyataan, mengatakan “elemen tertentu dari… informasi pelanggan” juga telah diakses
- 22 Desember 2022 – LastPass kembali merevisi pernyataan, merinci bahwa data sensitif pelanggan telah diakses, bersama dengan cadangan brankas pelanggan yang berisi data tidak terenkripsi dan terenkripsi
- 26 Desember 2022 – Wladimir Palant membeberkan klaim yang menyesatkan dalam pernyataan 22 Desember LastPass
- 28 Desember 2022 – 1Password mengklaim bahwa sebagian besar brankas LastPass secara teoritis dapat diretas hanya dengan daya komputasi $100
Apa yang kita ketahui sejauh ini tentang pelanggaran LastPass
Situs berita teknologi, BleepingComputer, mengetahui dari “orang dalam” pada pertengahan Agustus 2022 bahwa LastPass, perusahaan pengelola kata sandi terkemuka, diduga telah dilanggar. BleepingComputer menghubungi LastPass pada 21 Agustus tetapi tidak mendapat tanggapan.
Pada 25 Agustus, LastPass merilis pernyataan awalnya tentang pelanggaran tersebut di blog perusahaan. LastPass mengklaim bahwa pelanggaran itu terbatas pada lingkungan pengembangan mereka, dan tidak ada informasi pelanggan atau data brankas kata sandi pengguna yang telah disusupi. Namun, perusahaan tersebut mengatakan bahwa mereka telah “melibatkan firma keamanan siber dan forensik terkemuka”, dan penyelidikannya sedang berlangsung.
Lebih dari dua bulan kemudian, dan sekitar seminggu setelah liburan Thanksgiving AS, LastPass merilis pernyataan terbaru tentang pelanggaran tersebut pada 30 November. LastPass mengklaim bahwa perusahaan “baru-baru ini mendeteksi aktivitas yang tidak biasa dalam layanan penyimpanan cloud pihak ketiga” yang dibagikan oleh LastPass dan afiliasinya GoTo. Perusahaan “melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum.” Urutan peristiwa ini tampaknya menunjukkan bahwa dengan “terdeteksi baru-baru ini”, LastPass mengacu pada “aktivitas tidak biasa” yang terjadi pada bulan Agustus. LastPass lebih lanjut menyatakan bahwa “elemen tertentu dari informasi pelanggan kami” telah diakses oleh pihak yang tidak berwenang.
Plotnya mengental
Tiga minggu dan sehari setelah itu, LastPass dirilis satu lagi pernyataan terbaru pada 22 Desember. Di sinilah hal-hal mulai menjadi jauh lebih menarik.
Diduga, “kode sumber dan informasi teknis” yang diakses penyerang di lingkungan pengembangan mereka “digunakan untuk menargetkan karyawan lain, memperoleh kredensial dan kunci yang digunakan untuk mengakses dan mendekripsi beberapa volume penyimpanan dalam layanan penyimpanan berbasis cloud.”
Pada titik ini, LastPass mengakui bahwa “elemen tertentu” dari informasi pelanggan, yang telah disinggung oleh perusahaan pada bulan November, termasuk “informasi akun pelanggan dan metadata terkait” seperti:
- nama pengguna akhir (mungkin berarti nama lengkap pengguna asli)
- nama perusahaan
- alamat penagihan
- alamat email
- nomor telepon
- alamat IP tempat pelanggan mengakses layanan LastPass
Pelanggaran data pelanggan semacam itu cukup signifikan. Informasi ini dapat dengan mudah digunakan oleh penyerang untuk menipu pengguna LastPass dan mengelabui mereka agar mengungkapkan kata sandi penyimpanan data mereka.
Tetapi hilangnya informasi identitas pribadi pelanggan bukanlah masalah yang paling meresahkan.
“Aktor ancaman juga dapat menyalin cadangan data brankas pelanggan,” lanjut LastPass. Dalam format data milik perusahaan, data vault mencakup “data tidak terenkripsi, seperti URL situs web”, dan bidang terenkripsi, “seperti nama pengguna dan kata sandi situs web, catatan aman, dan data yang diisi formulir”.
Jadi penyerang tidak hanya dapat dengan mudah melakukan phishing kepada korban untuk kata sandi brankas LastPass mereka, tetapi mereka juga dapat melihat setiap situs yang kata sandinya disimpan oleh korban, dan korban phishing untuk nama pengguna dan kata sandi situs individual tersebut juga.
Pakar pihak ketiga (dan pesaing) mempertimbangkan
Wladimir Palant, seorang peneliti keamanan yang paling dikenal sebagai pengembang asli Adblock Plus, juga telah mengembangkan pengelola kata sandi gratisnya sendiri: PfP: Kata Sandi Tanpa Rasa Sakit. Palant berbicara banyak tentang pernyataan LastPass, menyatakan bahwa pernyataan itu “penuh dengan kelalaian, setengah kebenaran, dan kebohongan langsung”. Dia membahas banyak detail teknis yang tidak akan kami ulangi di sini. Tetapi satu pengamatan yang menarik adalah bahwa implementasi LastPass dari algoritme penguatan kata sandi tidak lagi dianggap kuat oleh standar OWASP (dan belum sejak pertengahan Maret 2021, saya menemukan; ini tampaknya didasarkan pada FIPS 140-3, pemerintah AS standar terakhir diperbarui pada Maret 2019).
Namun lebih buruk lagi, banyak brankas pengguna LastPass masih menggunakan implementasi yang sangat ketinggalan zaman. Untuk memberikan kesan skala tanpa terlalu teknis, 310.000 iterasi hashing adalah standar saat ini; kubah LastPass yang baru dibuat sejak sekitar tahun 2018 telah menggunakan 100.100 iterasi; tetapi Palant mengetahui bahwa 5.000 dan bahkan 500 iterasi digunakan oleh brankas LastPass lama yang tidak pernah ditingkatkan sejak 2018. Palant bahkan mengetahui “satu kasus yang dikonfirmasi” dari lemari besi yang hanya menggunakan 1 iterasi tunggal.
Dengan kata lain, banyak brankas pengguna LastPass lama dapat dengan mudah diretas sekarang.
Sentimen itu dibagikan oleh pesaing LastPass lainnya, 1Password (yang mengakui bahwa ia masih menggunakan 100.000 iterasi hashing, jauh lebih sedikit daripada LastPass). Dalam posting blog pada 26 Desember, 1Password menyatakan bahwa hanya $100 atau kurang dari daya komputasi sewaan yang cukup untuk memecahkan kata sandi utama dari banyak brankas LastPass yang menggunakan 100.100 iterasi.
Ini sangat jauh dari “jutaan tahun” yang diklaim oleh posting blog LastPass untuk masuk ke lemari besi LastPass.
Apakah masih aman menggunakan LastPass?
Tidak. Mengingat apa yang sekarang kita ketahui tentang LastPass—cara perusahaan beroperasi dan teknologinya—kami tidak menyarankan menggunakan LastPass sebagai pengelola kata sandi.
Apa yang dapat dilakukan pengguna LastPass saat ini?
Pada titik ini, pengguna LastPass harus berasumsi bahwa kata sandi atau informasi lain apa pun yang disimpan dalam akun LastPass mereka mungkin telah diakses oleh penyerang. Jadi:
- Pengguna LastPass harus segera memulai proses migrasi ke pengelola kata sandi yang berbeda.
- Setelah bermigrasi ke pengelola kata sandi baru, mantan pengguna LastPass harus melakukannya mengubah password mereka untuk semua layanan yang telah disimpan di lemari besi LastPass mereka.
Tentu saja, LastPass ingin Anda percaya bahwa tindakan seperti itu tidak diperlukan. Namun setelah membaca informasi di atas, Anda bisa memutuskan sendiri.
Memilih pengelola kata sandi baru bisa jadi menantang; sulit untuk mengetahui dengan pasti apakah insiden serupa dapat terjadi dengan banyak pesaing LastPass. Sebaiknya pilih pengelola kata sandi yang memiliki reputasi kuat. Jika Anda hanya perlu menyimpan kata sandi dan tidak menggunakan pengelola kata sandi untuk menyimpan informasi lain, milik Apple Rantai Kunci iCloud mungkin merupakan pilihan yang bagus dan gratis bagi siapa saja yang sudah menggunakan perangkat Apple. Jika Anda memerlukan pengelola kata sandi dengan lebih banyak fitur, lihat beberapa opsi yang tercantum dalam artikel kami, Cara Memilih Pengelola Kata Sandi yang Tepat untuk Anda.
Cara Memilih Pengelola Kata Sandi yang Tepat untuk Anda
Bagaimana saya bisa belajar lebih banyak?
Setiap minggu di Podcast Intego Mac, Pakar keamanan Mac Intego membahas berita Apple terbaru, termasuk kisah keamanan dan privasi, dan menawarkan saran praktis untuk memaksimalkan perangkat Apple Anda. Pastikan untuk ikuti podcastnya untuk memastikan Anda tidak melewatkan episode apa pun.Anda juga dapat berlangganan kami buletin email dan awasi di sini Blog Keamanan Mac untuk berita keamanan dan privasi Apple terbaru. Dan jangan lupa untuk mengikuti Intego di saluran media sosial favorit Anda: 
Tentang Joshua Long
Joshua Long (@theJoshMeister), Kepala Analis Keamanan Intego, adalah peneliti keamanan, penulis, dan pembicara publik terkenal. Josh memiliki gelar master di bidang TI yang berkonsentrasi pada Keamanan Internet dan telah mengambil kursus tingkat doktor dalam Keamanan Informasi. Apple secara terbuka mengakui Josh karena menemukan kerentanan otentikasi ID Apple. Josh telah melakukan penelitian keamanan siber selama lebih dari 20 tahun, yang sering ditampilkan oleh outlet berita besar di seluruh dunia. Cari lebih banyak artikel Josh di security.thejoshmeister.com dan ikuti dia Twitter. Lihat semua posting oleh Joshua Long →