LastPass telah mengeluarkan pernyataan panjang lebar tentang pelanggaran yang dialaminya beberapa bulan lalu. Sederhananya, semuanya tidak baik.
Beberapa minggu yang lalu, LastPass mengeluarkan pernyataan di blognya, membagikan hal itu mengalami pelanggaran. Pada saat itu, Karim Toubba, CEO LastPass, tidak menjelaskan seluruh detailnya, hanya menyampaikan bahwa insiden keamanan terjadi pada layanan penyimpanan cloud pihak ketiga yang digunakan LastPass. Sekarang, perusahaan memberikan rincian rinci tentang apa yang terjadi, dan itu tidak baik.
Toubba sekali lagi melalui blog perusahaannya untuk membagikan temuannya sehubungan dengan insiden tersebut. Menurut postingan tersebut, dalam serangan ini, data pelanggan tidak terpengaruh, namun "kode sumber dan informasi teknis" dicuri. Sayangnya, dengan informasi tersebut, penyerang kemudian menargetkan seorang karyawan, memperoleh kredensial dan kunci yang digunakan untuk mendekripsi dan mengakses informasi di layanan penyimpanan berbasis cloud.
Dari sini, penyerang dapat mengakses informasi akun seperti "nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP dari mana pelanggan mengakses layanan LastPass." Selanjutnya, data brankas pelanggan diperoleh, yang berisi "nama pengguna dan kata sandi situs web, catatan aman, dan data yang sudah diisi formulir."
Jadi Anda mungkin bertanya pada diri sendiri, apa sebenarnya maksud semua ini?
Ya, ada kabar baik dan kabar buruk. Kabar baiknya, data yang diambil telah dienkripsi, dan memerlukan kata sandi utama pengguna untuk mendekripsinya. Kabar buruknya adalah jika penyerang punya waktu, mereka dapat membuka dan mencoba kata sandi sebanyak yang diperlukan untuk mendekripsi data. LastPass mengakui bahwa hal ini adalah suatu kemungkinan, namun menyatakan bahwa hal ini akan "sangat sulit", selama kata sandinya sendiri adalah sebuah yang rumit.
LastPass juga memperingatkan bahwa serangan phishing bisa menjadi lebih umum, dalam upaya untuk membuat pelanggan lengah dan mengekstrak kata sandi utama. Sejauh yang bisa dilakukan saat ini, yang perlu dilakukan hanyalah tetap waspada dan tidak menjadi korban upaya phishing. Jika tampaknya tidak biasa atau mencurigakan, selidikilah. LastPass memerlukan minimal 12 karakter kata sandi untuk beberapa waktu. Namun pelanggaran seperti ini bisa terjadi dan jika terjadi, hal ini benar-benar menempatkan segala sesuatunya dalam perspektif yang benar.
Perusahaan tersebut memang mencoba dan memberikan jaminan, dengan menyatakan akan memakan waktu jutaan tahun untuk mencoba dan menebak kata sandi yang rumit. Tentu saja, hal ini tidak akan membuat Anda tenang karena ada seseorang di luar sana yang memiliki data terenkripsi Anda. LastPass telah melakukan perubahan pada infrastrukturnya, untuk mencegah pelanggaran di masa depan dan telah menghubungi pelanggan bisnis berisiko tinggi dengan instruksi.
Sumber: Lulus Terakhir