Pelanggaran data LastPass lebih buruk dari perkiraan pertama; data pengguna dan brankas kata sandi direbut oleh peretas

Pelanggaran data LastPass lebih buruk dari perkiraan pertama;  data pengguna dan brankas kata sandi direbut oleh peretas

Logo LastPass di laptop

Perusahaan manajemen kata sandi LastPass telah mengeluarkan pembaruan tentang pelanggaran keamanan yang pertama kali terungkap pada bulan Agustus. Beritanya tidak bagus; pelanggaran data secara signifikan lebih buruk daripada laporan awal yang disarankan.

LastPass mengatakan bahwa penyelidikannya atas insiden tersebut sekarang menunjukkan bahwa para peretas dapat memperoleh data brankas pelanggan. Perusahaan menunjukkan bahwa brankas ini adalah rumah bagi data terenkripsi dan tidak terenkripsi, dan mencoba mengecilkan pentingnya aktor ancaman mendapatkan akses ke data tidak terenkripsi.

Lihat juga:

Dalam pembaruan untuk posting blog awalnya, LastPass menyarankan penggunanya: “Berdasarkan penyelidikan kami hingga saat ini, kami telah mengetahui bahwa aktor ancaman yang tidak dikenal mengakses lingkungan penyimpanan berbasis cloud dengan memanfaatkan informasi yang diperoleh dari insiden yang sebelumnya kami ungkapkan pada Agustus 2022. “.

Perusahaan melanjutkan:

Meskipun tidak ada data pelanggan yang diakses selama insiden Agustus 2022, beberapa kode sumber dan informasi teknis telah dicuri dari lingkungan pengembangan kami dan digunakan untuk menargetkan karyawan lain, memperoleh kredensial dan kunci yang digunakan untuk mengakses dan mendekripsi beberapa volume penyimpanan dalam berbasis cloud layanan penyimpanan.

Pernyataan dari LastPassCEO, Karim Toubba, selanjutnya mengatakan:

Layanan produksi LastPass saat ini beroperasi dari pusat data lokal dengan penyimpanan berbasis cloud yang digunakan untuk berbagai keperluan seperti menyimpan cadangan dan persyaratan residensi data regional. Layanan penyimpanan cloud yang diakses oleh pelaku ancaman secara fisik terpisah dari lingkungan produksi kami.

Hingga saat ini, kami telah menentukan bahwa setelah kunci akses penyimpanan cloud dan kunci dekripsi wadah penyimpanan ganda diperoleh, aktor ancaman menyalin informasi dari cadangan yang berisi informasi dasar akun pelanggan dan metadata terkait termasuk nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP tempat pelanggan mengakses layanan LastPass.

Pelaku ancaman juga dapat menyalin cadangan data brankas pelanggan dari wadah penyimpanan terenkripsi yang disimpan dalam format biner berpemilik yang berisi data tidak terenkripsi, seperti URL situs web, serta bidang sensitif yang terenkripsi penuh seperti nama pengguna situs web. dan kata sandi, catatan aman, dan data yang diisi formulir. Bidang terenkripsi ini tetap diamankan dengan enkripsi AES 256-bit dan hanya dapat didekripsi dengan kunci enkripsi unik yang berasal dari kata sandi utama setiap pengguna menggunakan arsitektur Zero Knowledge kami. Sebagai pengingat, kata sandi utama tidak pernah diketahui oleh LastPass dan tidak disimpan atau dikelola oleh LastPass. Enkripsi dan dekripsi data dilakukan hanya pada klien LastPass lokal. Untuk informasi selengkapnya tentang arsitektur Zero Knowledge dan algoritme enkripsi kami, silakan lihat di sini.

Tidak ada bukti bahwa data kartu kredit yang tidak terenkripsi telah diakses. LastPass tidak menyimpan nomor kartu kredit lengkap dan informasi kartu kredit tidak diarsipkan di lingkungan penyimpanan cloud ini.

Meremehkan pentingnya apa yang telah terjadi, Toubba mengatakan: “Aktor ancaman mungkin mencoba menggunakan kekerasan untuk menebak kata sandi utama Anda dan mendekripsi salinan data brankas yang mereka ambil. Karena metode hashing dan enkripsi yang kami gunakan untuk melindungi pelanggan kami, akan sangat sulit untuk mencoba memaksa menebak kata sandi utama bagi pelanggan yang mengikuti praktik terbaik kata sandi kami”.

Tidak jelas berapa banyak pengguna yang terpengaruh oleh cerita terbaru, tetapi LastPass telah memberikan lebih banyak informasi dan saran di sini.

Kredit gambar: monticello / depsitphotos

Author: Kenneth Henderson