Pengguna LastPass mengatakan : Info dan data brankas kata sandi Anda sekarang berada di tangan peretas

image featured from : unsplash.com

LastPass, salah satu pengelola kata sandi terkemuka, mengatakan bahwa peretas memperoleh banyak informasi pribadi milik pelanggannya serta kata sandi yang dienkripsi dan di-hash secara kriptografis serta data lain yang disimpan di brankas pelanggan.

Pengungkapan, diposting pada hari Kamis, merupakan pembaruan dramatis untuk pelanggaran LastPass yang diungkapkan pada bulan Agustus. Pada saat itu, perusahaan mengatakan bahwa pelaku ancaman memperoleh akses tidak sah melalui satu akun pengembang yang disusupi ke bagian dari lingkungan pengembangan pengelola kata sandi dan “mengambil bagian dari kode sumber dan beberapa informasi teknis hak milik LastPass.” Perusahaan mengatakan pada saat itu kata sandi utama pelanggan, kata sandi terenkripsi, informasi pribadi, dan data lain yang disimpan di akun pelanggan tidak terpengaruh.

 

Data sensitif, baik terenkripsi maupun tidak, disalin

Dalam pembaruan hari Kamis, perusahaan mengatakan peretas mengakses informasi pribadi dan metadata terkait, termasuk nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP yang digunakan pelanggan untuk mengakses layanan LastPass. Peretas juga menyalin cadangan data brankas pelanggan yang mencakup data tidak terenkripsi seperti URL situs web dan bidang data terenkripsi seperti nama pengguna dan kata sandi situs web, catatan aman, dan data yang diisi formulir.

“Bidang terenkripsi ini tetap diamankan dengan enkripsi AES 256-bit dan hanya dapat didekripsi dengan kunci enkripsi unik yang berasal dari kata sandi utama setiap pengguna menggunakan arsitektur Zero Knowledge kami,” tulis CEO LastPass Karim Toubba, mengacu pada Skema Enkripsi Lanjutan dan sedikit tingkat yang dianggap kuat. Zero Knowledge mengacu pada sistem penyimpanan yang tidak mungkin didekripsi oleh penyedia layanan. CEO melanjutkan:

Sebagai pengingat, kata sandi utama tidak pernah diketahui oleh LastPass dan tidak disimpan atau dikelola oleh LastPass. Enkripsi dan dekripsi data dilakukan hanya pada klien LastPass lokal. Untuk informasi selengkapnya tentang arsitektur Zero Knowledge dan algoritme enkripsi kami, silakan lihat di sini.

Pembaruan mengatakan bahwa dalam penyelidikan perusahaan sejauh ini, tidak ada indikasi bahwa data kartu kredit yang tidak terenkripsi telah diakses. LastPass tidak menyimpan data kartu kredit secara keseluruhan, dan data kartu kredit yang disimpannya disimpan di lingkungan penyimpanan cloud yang berbeda dari lingkungan yang diakses oleh pelaku ancaman.

Intrusi yang diungkapkan pada bulan Agustus yang memungkinkan peretas untuk mencuri kode sumber LastPass dan informasi teknis eksklusif tampaknya terkait dengan pelanggaran terpisah dari Twilio, penyedia layanan otentikasi dan komunikasi dua faktor yang berbasis di San Francisco. Pelaku ancaman dalam pembobolan itu mencuri data dari 163 pelanggan Twilio. Phisher yang sama yang menyerang Twilio juga melanggar setidaknya 136 perusahaan lain, termasuk LastPass.

Pembaruan hari Kamis mengatakan bahwa pelaku ancaman dapat menggunakan kode sumber dan informasi teknis yang dicuri dari LastPass untuk meretas karyawan LastPass yang terpisah dan mendapatkan kredensial dan kunci keamanan untuk mengakses dan mendekripsi volume penyimpanan dalam layanan penyimpanan berbasis cloud perusahaan.

“Sampai saat ini, kami telah menentukan bahwa setelah kunci akses penyimpanan cloud dan kunci dekripsi wadah penyimpanan ganda diperoleh, aktor ancaman menyalin informasi dari cadangan yang berisi informasi dasar akun pelanggan dan metadata terkait, termasuk nama perusahaan, nama pengguna akhir, penagihan alamat, alamat email, nomor telepon, dan alamat IP dari mana pelanggan mengakses layanan LastPass, ”kata Toubba. “Aktor ancaman juga dapat menyalin cadangan data brankas pelanggan dari wadah penyimpanan terenkripsi, yang disimpan dalam format biner berpemilik yang berisi data tidak terenkripsi, seperti URL situs web, serta bidang sensitif yang dienkripsi sepenuhnya, seperti nama pengguna dan kata sandi situs web, catatan aman, dan data yang diisi formulir.”

Perwakilan LastPass tidak menanggapi email yang menanyakan berapa banyak pelanggan yang datanya disalin.

 

Tingkatkan keamanan Anda sekarang

Pembaruan hari Kamis juga mencantumkan beberapa solusi yang diambil LastPass untuk menopang keamanannya setelah pelanggaran tersebut. Langkah-langkahnya termasuk menonaktifkan pengembangan yang diretas dan membangunnya kembali dari awal, mempertahankan layanan deteksi dan respons titik akhir terkelola, dan merotasi semua kredensial dan sertifikat relevan yang mungkin terpengaruh.

Mengingat sensitivitas data yang disimpan oleh LastPass, sangat mengkhawatirkan bahwa begitu banyak data pribadi yang diperoleh. Yang juga memprihatinkan adalah fakta bahwa brankas pengguna sekarang berada di tangan aktor ancaman. Meskipun meretas hash kata sandi akan membutuhkan sumber daya yang sangat besar, itu tidak keluar dari pertanyaan, terutama mengingat betapa metodis dan banyak akal aktor ancaman itu.

 

 

 

Milano – UKDW 2018

Be the first to comment

Leave a Reply

Your email address will not be published. Required fields are marked *