Kantor Komisaris Informasi Inggris (ICO) mendenda perusahaan pengelola kata sandi LastPass sebesar £1,2 juta karena gagal menerapkan langkah-langkah keamanan yang memungkinkan penyerang mencuri informasi pribadi dan brankas kata sandi terenkripsi milik hingga 1,6 juta pengguna di Inggris pada pelanggaran tahun 2022.
Menurut ICO, insiden tersebut berasal dari dua pelanggaran yang saling berhubungan yang dimulai pada Agustus 2022.
Pelanggaran pertama terjadi pada Agustus 2022, ketika a peretas menyusupi laptop karyawan LastPass dan mengakses sebagian dari lingkungan pengembangan perusahaan.
Meskipun tidak ada data pribadi yang diambil selama insiden ini, penyerang dapat memperoleh kode sumber perusahaan, informasi teknis kepemilikan, dan kredensial perusahaan terenkripsi. LastPass awalnya percaya bahwa pelanggaran tersebut dapat diatasi karena kunci dekripsi untuk kredensial ini disimpan secara terpisah di brankas empat karyawan senior.
Namun, keesokan harinya, penyerang menargetkan salah satu karyawan senior tersebut dengan mengeksploitasi kerentanan yang diketahui pada aplikasi streaming pihak ketiga, diyakini sebagai Plexyang dipasang di perangkat pribadi karyawan.
Akses ini memungkinkan peretas untuk menyebarkan malware, menangkap kata sandi utama karyawan menggunakan keylogger, dan melewati autentikasi multifaktor menggunakan cookie yang sudah diautentikasi MFA.
Karena karyawan tersebut menggunakan kata sandi utama yang sama untuk brankas pribadi dan bisnis, penyerang dapat mengakses brankas bisnis dan mencuri kunci akses Amazon Web Services dan kunci dekripsi.
Kunci-kunci ini, dikombinasikan dengan informasi yang dicuri sebelumnya, memungkinkan penyerang untuk melakukannya melanggar perusahaan penyimpanan cloud GoTo Dan mencuri cadangan basis data LastPass disimpan di platform.
Data pelanggan dicuri karena pelanggaran
Informasi pribadi yang disimpan dalam database yang dicuri disertakan brankas kata sandi terenkripsinama, alamat email, nomor telepon, dan URL situs web yang terkait dengan akun pelanggan.
“Pelaku ancaman menyalin informasi dari cadangan yang berisi informasi akun pelanggan dasar dan metadata terkait termasuk nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP dari mana pelanggan mengakses layanan LastPass,” jelas CEO LastPass Karim Toubba saat itu.
“Pelaku ancaman juga dapat menyalin cadangan data brankas pelanggan dari wadah penyimpanan terenkripsi yang disimpan dalam format biner eksklusif yang berisi data tidak terenkripsi, seperti URL situs web, serta bidang sensitif yang terenkripsi sepenuhnya seperti nama pengguna dan kata sandi situs web, catatan aman, dan data yang diisi formulir.”
ICO mengklaim bahwa penyerang tidak mendekripsi brankas kata sandi pelanggan, karena “arsitektur Zero Knowledge” LastPass tidak mengetahui atau menyimpan kata sandi utama yang digunakan untuk mendekripsi brankas, dan hanya diketahui oleh pelanggan.
Namun, LastPass sebelumnya memperingatkan bahwa keamanan brankas terenkripsi bergantung pada kekuatan kata sandi utama pelanggan, dan menyarankan agar kata sandi yang lebih lemah direset.
“Tergantung pada panjang dan kompleksitas kata sandi utama Anda serta pengaturan jumlah iterasi, Anda mungkin ingin menyetel ulang kata sandi utama Anda,” bunyinya. Buletin dukungan LastPass tentang serangan siber.
Hal ini karena serangan brute force yang didukung GPU dapat memecahkan kata sandi utama yang lemah yang digunakan untuk mengenkripsi brankas, sehingga memungkinkan pelaku ancaman mendapatkan akses ke kata sandi tersebut.
Beberapa peneliti mengklaim ini sudah terjadimenyatakan penelitian mereka menunjukkan brankas LastPass dengan kata sandi yang lemah didekripsi untuk melakukan serangan pencurian mata uang kripto.
Kiat keamanan kata sandi
Komisaris Informasi John Edwards mengatakan bahwa meskipun pengelola kata sandi tetap menjadi alat penting untuk keamanan, perusahaan yang menawarkan layanan tersebut harus memastikan kontrol akses dan sistem internal diperkuat terhadap serangan yang ditargetkan.
Dia menekankan bahwa pelanggan LastPass memiliki ekspektasi yang masuk akal bahwa informasi pribadi mereka akan dilindungi dan bahwa perusahaan gagal memenuhi kewajiban ini, sehingga mengakibatkan hukuman yang diumumkan hari ini.
ICO mendorong organisasi untuk meninjau ulang mereka keamanan perangkat, risiko kerja jarak jauhdan pembatasan akses.
Pelanggan juga harus memastikan bahwa mereka menggunakan kata sandi yang kuat dan rumit, yang direkomendasikan LastPass setidaknya terdiri dari 12 karakter dan menyertakan huruf besar dan kecil, angka, simbol, dan karakter khusus.
Namun, dalam serangan seperti ini, di mana peningkatan daya komputasi dan peretasan offline dapat terjadi, lebih aman menggunakan kata sandi utama minimal 16 karakter[[1, 2]atau frasa sandi multi-kata yang panjang untuk mengamankan informasi yang sangat sensitif, seperti brankas kata sandi.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
