LastPass telah diretas untuk kedua kalinya dalam tiga bulan. Ini digunakan oleh lebih dari 30 juta orang di seluruh dunia. Pengelola kata sandi LastPass telah mengakui bahwa peretas mencuri salinan terenkripsi kata sandi pengguna dan data sensitif lainnya, termasuk alamat penagihan, nomor telepon, dan alamat IP pengguna. Awalnya, sistem diretas pada Agustus, pada akhir November - awal Desember, informasi tentang data apa yang dicuri muncul, dan sekarang blog perusahaan telah menerbitkan detailnya.
Pengelola kata sandi LastPass telah diretas, yang terbukti sangat sukses bagi para peretas itu sendiri, mereka berhasil mendapatkan data pengguna, tetapi belum diketahui persis apa. Kemungkinan mereka sekarang memiliki akses ke kata sandi yang disimpan pengguna layanan di profil mereka.
Informasi tentang peretasan LastPass dan kompromi data pengguna juga dikonfirmasi oleh perwakilan layanan itu sendiri. Namun, mereka dengan hati-hati menyembunyikan tingkat kebocoran dan sifat informasi yang berakhir di tangan penyerang, jadi untuk saat ini semua pengguna LastPass, tanpa kecuali, yang merupakan jutaan orang di seluruh dunia, berada dalam risiko. Menurut portal EarthWeb, per Oktober 2022, basis pengguna LastPass berjumlah 33 juta orang.
Pada saat materi dirilis, perwakilan LastPass tidak mengonfirmasi, tetapi tidak menyangkal kebocoran kata sandi pengguna yang terletak di penyimpanan online pribadi mereka. Namun, ada risiko akibat serangan peretas seperti itu. Selain itu, dengan mempertimbangkan fakta bahwa LastPass telah memungkinkan kata sandi bocor lebih dari sekali dalam 14 tahun keberadaannya, risiko dalam kasus ini tinggi.
Apa yang harus saya lakukan?
Hal pertama yang perlu dilakukan pengguna adalah melihat kata sandi mana yang disimpan di cloud dan mengubahnya secepat mungkin sebelum penyerang mendapatkannya secara khusus. Banyak orang, misalnya, menyimpan kata sandi dari bank Internet atau email perusahaan di manajer semacam itu.
Langkah kedua adalah menemukan, jika bukan pengganti LastPass, setidaknya pengelola kata sandi cadangan dari antara mereka yang bekerja offline. Program semacam itu menyimpan basis data kata sandi langsung di perangkat pengguna (seringkali dalam bentuk terenkripsi), yang secara signifikan mengurangi risiko kebocoran kontennya.
Pengelola kata sandi memungkinkan pengguna untuk menyimpan nama pengguna dan kata sandi mereka di berbagai situs di satu tempat - diakses dengan kata sandi utama yang dibuat pengguna. Last Pass tidak menyimpan atau membuang kata sandi utama. Data terenkripsi lainnya hanya dapat diambil menggunakan "kunci enkripsi unik yang diperoleh dari kata sandi utama pengguna". Namun, perusahaan memperingatkan pelanggan bahwa mereka dapat menjadi korban rekayasa sosial, phishing, dan metode lain untuk memperoleh informasi. Selain itu, peretas dapat menggunakan serangan brute force untuk mendapatkan kata sandi utama dan mendekripsi data lain yang terletak di penyimpanan terenkripsi. Namun, LastPass mengklaim bahwa penyerang membutuhkan "jutaan tahun" untuk menebak kata sandi menggunakan teknik peretasan yang tersedia untuk umum.
Perusahaan tersebut mengatakan bahwa Mandiant, sebuah perusahaan yang menyediakan keamanan dunia maya, sedang menyelidiki insiden tersebut, dan bahwa LastPass sendiri sedang membangun kembali seluruh lingkungan kerja - ini secara tidak langsung menunjukkan bahwa peretas mendapatkan potongan kode yang signifikan dan data lainnya.
LastPass juga mengatakan bahwa penyelidikan sedang berlangsung, dan perusahaan telah memberi tahu penegak hukum dan regulator terkait tentang insiden tersebut. Dia sendiri merekomendasikan pengguna untuk membuat kata sandi utama tidak lebih pendek dari 12 karakter, untuk mengubah pengaturan standar pembuatan kunci Fungsi Penurunan Kunci Berbasis Kata Sandi (PBKDF2) dan, tentu saja, untuk tidak menggunakan kata sandi utama di situs lain. Rekomendasi saat ini lebih rinci diberikan di blog layanan.
Anda dapat membantu Ukraina melawan penjajah Rusia. Cara terbaik untuk melakukannya adalah dengan menyumbangkan dana ke Angkatan Bersenjata Ukraina melalui selamatkan hidup atau melalui halaman resmi NBU.