LastPass adalah pengelola kata sandi freemium yang menyimpan kata sandi terenkripsi di cloud, awalnya dikembangkan oleh perusahaan Marvasol, Inc.
Pengembang pengelola kata sandi LastPass, yang digunakan oleh lebih dari 33 juta orang dan lebih dari 100.000 perusahaan, memberi tahu pengguna tentang insiden di mana penyerang berhasil mengakses cadangan penyimpanan dengan data pengguna dari layanan.
Data termasuk informasi seperti nama pengguna, alamat, email, telepon, dan alamat IP dari mana layanan diakses, serta nama situs yang tidak terenkripsi yang disimpan di pengelola kata sandi dan login, kata sandi, data formulir, dan catatan terenkripsi yang disimpan di situs ini .
Untuk melindungi login dan kata sandi dari situs, Enkripsi AES digunakan dengan kunci 256-bit yang dihasilkan menggunakan fungsi PBKDF2 berdasarkan kata sandi utama yang hanya diketahui oleh pengguna, dengan ukuran minimal 12 karakter. Enkripsi dan dekripsi login dan kata sandi di LastPass dilakukan hanya di sisi pengguna, dan menebak kata sandi utama dianggap tidak realistis pada perangkat keras modern, mengingat ukuran kata sandi utama dan jumlah iterasi PBKDF2 yang diterapkan.
Untuk melakukan penyerangan, mereka menggunakan data yang diperoleh penyerang pada serangan terakhir yang terjadi pada bulan Agustus dan dilakukan dengan mengkompromikan akun salah satu pengembang layanan.
Serangan Agustus mengakibatkan penyerang mendapatkan akses ke lingkungan pengembangan, kode aplikasi dan informasi teknis. Belakangan ternyata penyerang menggunakan data dari lingkungan pengembangan untuk menyerang pengembang lain, di mana mereka berhasil mendapatkan kunci akses ke penyimpanan cloud dan kunci untuk mendekripsi data dari wadah yang disimpan di sana. Server cloud yang disusupi menghosting cadangan penuh dari data layanan pekerja.
Pengungkapan tersebut merupakan pembaruan dramatis untuk celah yang diungkapkan LastPass pada bulan Agustus. Penerbit mengakui bahwa para peretas "mengambil bagian dari kode sumber dan beberapa informasi teknis hak milik dari LastPass." Perusahaan mengatakan pada saat itu kata sandi utama pelanggan, kata sandi terenkripsi, informasi pribadi, dan data lain yang disimpan di akun pelanggan tidak terpengaruh.
AES 256-bit dan hanya dapat didekripsi dengan kunci dekripsi unik yang berasal dari kata sandi utama setiap pengguna menggunakan arsitektur Zero Knowledge kami,” jelas CEO LastPass Karim Toubba, mengacu pada Skema Enkripsi Lanjutan. Zero Knowledge mengacu pada sistem penyimpanan yang tidak mungkin diretas oleh penyedia layanan. CEO melanjutkan:
Itu juga mencantumkan beberapa solusi yang diambil LastPass untuk memperkuat keamanannya setelah pelanggaran. Langkah-langkahnya termasuk menonaktifkan lingkungan pengembangan yang diretas dan membangun kembali dari awal, mempertahankan layanan deteksi dan respons titik akhir terkelola, dan merotasi semua kredensial dan sertifikat relevan yang mungkin telah disusupi.
Mengingat kerahasiaan data yang disimpan oleh LastPass, sangat mengkhawatirkan bahwa data pribadi yang begitu luas telah diperoleh. Sementara cracking hash kata sandi akan memakan banyak sumber daya, itu tidak keluar dari pertanyaan, terutama mengingat metode dan kecerdikan para penyerang.
Pelanggan LastPass harus memastikan bahwa mereka telah mengubah Kata Sandi Utama mereka dan semua kata sandi yang disimpan di lemari besi Anda. Mereka juga harus memastikan bahwa mereka menggunakan pengaturan yang melebihi pengaturan default LastPass.
Konfigurasi ini mengacak kata sandi yang disimpan menggunakan 100100 iterasi dari Fungsi Penurunan Kunci Berbasis Kata Sandi (PBKDF2), skema hashing yang dapat membuat tidak mungkin untuk memecahkan kata sandi master unik yang panjang, dan iterasi 100100 yang dibuat secara acak sayangnya di bawah ambang batas yang direkomendasikan OWASP sebesar 310 iterasi untuk PBKDF000 yang dikombinasikan dengan algoritme hash SHA2 yang digunakan oleh LastPass.
Pelanggan LastPass mereka juga harus sangat waspada terhadap email phishing dan panggilan telepon yang mengaku berasal dari LastPass atau layanan lain yang mencari data sensitif dan penipuan lain yang mengeksploitasi data pribadi Anda yang disusupi. Perusahaan juga menawarkan panduan khusus untuk pelanggan perusahaan yang telah menerapkan layanan login federasi LastPass.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat berkonsultasi dengan detailnya Di tautan berikut.