Baru-baru ini banyak Pengguna LastPass telah melaporkan bahwa kata sandi utama mereka telah disusupi setelah menerima email peringatan bahwa seseorang telah mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak diketahui.
itu pemberitahuan email Mereka juga menyebutkan bahwa upaya koneksi diblokir karena Mereka dibuat dari lokasi yang tidak diketahui di dunia.
"Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali," peringatan masuk memperingatkan. “LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Itu kamu? «
Laporan kata sandi master LastPass yang disusupi didistribusikan melalui berbagai situs media sosial dan platform online, termasuk Twitter.
Laporan terbanyak tampaknya berasal dari pengguna dengan akun LastPass yang kedaluwarsa, yang berarti bahwa mereka tidak menggunakan layanan untuk beberapa waktu dan tidak mengubah kata sandi. Salah satu asumsi yang dibuat saat itu adalah bahwa daftar kata sandi utama yang digunakan mungkin berasal dari peretasan sebelumnya.
Beberapa pengguna mengklaim bahwa mengubah kata sandi mereka tidak membantu mereka, dan satu pengguna mengklaim melihat upaya masuk baru dari berbagai lokasi dengan setiap perubahan kata sandi.
LastPass telah menyelidiki laporan terbaru bahwa mereka memblokir upaya login dan menentukan bahwa aktivitas tersebut terkait dengan beberapa aktivitas bot yang cukup umum, di mana aktor atau aktor jahat mencoba mengakses akun pengguna (dalam hal ini, LastPass) menggunakan alamat email dan kata sandi yang diperoleh dari pelanggaran pihak ketiga terkait dengan layanan tidak terafiliasi lainnya ”.
“Penting untuk dicatat bahwa kami tidak memiliki indikasi bahwa akun berhasil diakses atau bahwa layanan LastPass telah disusupi oleh pihak yang tidak berwenang. Kami secara teratur memantau jenis aktivitas ini dan akan terus mengambil langkah-langkah yang dirancang untuk memastikan bahwa LastPass, penggunanya, dan datanya tetap terlindungi dan aman, ”tambah Bacso-Albaum.
Namun, Pengguna yang diwawancarai yang menerima peringatan ini mengatakan kata sandi mereka unik untuk LastPass dan mereka tidak digunakan di tempat lain. Itulah sebabnya seorang pengguna Internet bertanya-tanya, "Jadi, bagaimana mereka mendapatkan kata sandi LastPass yang unik ini tanpa pelanggaran LastPass?" »
Sementara LastPass tidak membagikan perincian apa pun tentang bagaimana aktor jahat di balik upaya isian kredensial ini berlangsung, peneliti keamanan Bob Diachenko mengatakan baru-baru ini menemukan ribuan informasi.
Beberapa pelanggan LastPass yang telah menerima peringatan koneksi seperti itu telah mengindikasikan bahwa email mereka tidak ada dalam daftar pasangan koneksi yang dikumpulkan oleh RedLine Stealer yang ditemukan Diachenko.
Selain itu, dia sendiri menunjukkan bahwa ini bukan sumber serangan:
“Oke, saya telah menerima beberapa permintaan untuk memeriksa email di log RedLine Stealer, dan tidak ada. Dia tidak memiliki catatan apapun. Jadi ternyata bukan itu sumber serangannya (sayangnya, karena itu akan membuat vektor lebih mudah dipahami) ”.
Ini berarti, setidaknya dalam kasus beberapa laporan ini, aktor jahat di balik upaya akuisisi Mereka telah menggunakan cara lain untuk mencuri kata sandi utama dari target mereka.
Beberapa pelanggan juga telah melaporkan bahwa mereka telah mengubah kata sandi utama mereka sejak mereka menerima peringatan login, hanya untuk menerima peringatan lain setelah kata sandi diubah.
“Seseorang mencoba memasukkan kata sandi master LastPass saya kemarin, dan kemudian seseorang mencoba lagi beberapa jam setelah saya mengubahnya. Apa yang sedang terjadi ? «
Lebih buruk lagi, pelanggan yang mencoba menonaktifkan dan menghapus akun LastPass mereka setelah menerima peringatan ini juga melaporkan menerima kesalahan "Ada yang tidak beres" setelah mengklik tombol "Hapus".
Meskipun LastPass belum dikompromikan, pengguna LastPass didorong untuk mengaktifkan otentikasi multi-faktor untuk melindungi akun mereka.
Di situsnya, LastPass menjelaskan:
“Otentikasi multi-faktor (MFA), dengan pemberitahuan satu sentuhan (OneTap) di ponsel, kode yang dikirim melalui SMS atau verifikasi sidik jari, memberikan lapisan keamanan kedua untuk mengonfirmasi identitas pengguna sebelum memberi mereka akses. Dengan MFA, administrator dapat menerapkan kebijakan autentikasi yang mematuhi standar keamanan tanpa melanggar waktu atau pekerjaan karyawan. LastPass MFA melampaui otentikasi dua faktor tradisional untuk memastikan pengguna yang tepat mengakses data yang tepat pada waktu yang tepat.