Peretas Mencuri Source Code LastPass dalam Serangan Siber
ilustrasi
Cyberthreat.id – Raksasa manajemen kata sandi LastPass telah mengungkapkan rincian insiden keamanan awal bulan ini di mana informasi kepemilikan dicuri oleh pelaku ancaman.
LastPass diakuisisi oleh LogMeIn seharga $125 juta pada tahun yang sama, LastPass mengumumkan pada tahun 2021 bahwa mereka akan menjadi perusahaan mandiri lagi. Perusahaan, yang mengklaim memiliki lebih dari 33 juta pengguna global termasuk lebih dari 100.000 akun bisnis, mengatakan penyusupan itu terjadi dua minggu lalu.
Dikutip dari Info Security Magazine, LastPass mengungkapkan bahwa pihak yang tidak berwenang memperoleh akses ke bagian dari lingkungan pengembangan LastPass. Melalui salah satu akun pengembang yang disusupi, mereka mencuri source code dan beberapa informasi teknis kepemilikan LastPass.
“Meski demikian, produk kami tetap beroperasi secara normal,” kata LastPass dalam pernyatannya.
Menanggapi insiden tersebut, pihaknya juga telah menerapkan tindakan penahanan dan mitigasi, dan melibatkan perusahaan keamanan siber dan forensik terkemuka. Sementara itu, penyelidikan terkait insiden sedang berlangsung, pihaknya pun telah mencapai status penahanan, menerapkan langkah-langkah keamanan tambahan yang ditingkatkan, dan tidak melihat bukti lebih lanjut dari aktivitas yang tidak sah.
LastPass dengan susah payah menunjukkan bahwa ia tidak memiliki bukti bahwa data pelanggan atau brankas kata sandi terenkripsi diakses dalam pelanggaran, yang terbatas pada lingkungan pengembang.
“Kami tidak pernah menyimpan atau memiliki pengetahuan tentang Kata Sandi Utama Anda,” kata perusahaan itu.
LastPass menambahkan, untuk menjamin keamanan pengguna, pihaknya telah menggunakan arsitektur Zero Knowledge standar industri yang memastikan LastPass tidak akan pernah tahu atau mendapatkan akses ke Master Password pelanggan. Mereka pun tidak memberikan langkah tambahan yang harus diikuti pelanggan.
Sebagai informasi, ini bukan insiden keamanan pertama bagi pelanggan LastPass. Kembali pada tahun 2015, pelaku ancaman berhasil mengakses alamat email akun LastPass, pengingat kata sandi, dan hash otentikasi.
