Aplikasi Password Manager LastPass Dibobol Lagi, Kali ini yang Terparah!

Sabtu, 24 Desember 2022 | 16:00
The Hacker News

Ilustrasi aplikasi LastPass diretas

Nextren.com -Aplikasi password manager LastPass kembali diretaas oleh hacker.

Peretasanbaru-baru inimenjadi yang ketiga kalinya LastPass diretas sepanjang tahun 2022.

Dilansir dari Engadget, LastPass telah mengkonfirmasi bahwa aplikasinya telah diretas alias dibobol.

Pada hari Kamis (22/12), pihak perusahaan mengumumkan bahwa peretasan kali ini menjadi yang terparah dibandingkan dengan beberapa insiden pereteasan sebelumnya.

Peretasan baru jauh lebih merusak dimana hacker mampu mengakses data brankas berisi kata sandi pengguna.

Hal ini berarti pencuri data memiliki seluruh koleksi data pribadi pengguna Last-Pass yang terenkripsi.

Baca Juga: Cara Melihat Password WiFi Tetangga via Aplikasi Wifimap, Ketahuan Nih!

Peretasan LastPass terjadi setelah update major yang dikeluarkan oleh pengembang pada bulan lalu.

CEO LastPass, Karim Torubba mengatakan bahwa pelaku berhasil mendapatkan akses ke "elemen tertentu" dari informasi pelanggan.

Hacker memperoleh akses ke cloud storage LastPass menggunakan kunci akses cloud storage dan kunci dual storage container decryption.

Torubba mengatakan bahwa kunci tersebut dicuri dari lingkungan developer.

Baca Juga: Cara Melihat Password WiFi Tersimpan di iPhone dan iPad, Fitur Baru NIh!

"Aktor peretasan menyalin informasi dari backup yang berisi informasi basic akun pelanggan dan metadata terkait," ujar Karim Torubba.

Lebih lanjut, Torubba mengatakan bahwa beberapa data pengguna LastPass dapat diakses oleh pelaku.

"(Data yang dapat diakses pelaku) termasuk nama perusahaan, nama akhir pengguna, alamat penagiham, alamat email, nomor telepon, dan alamat IP di mana pelanggan mengakses layanan LastPass," ujarnya.

Baca Juga: Benarkah One Time Password (OTP) Jadi Solusi Hindari Kebocoran Data?

Selain itu, peretas juga memiliki kemampuan untuk menyalin backtup data brankas pelanggan yang membuatnya menjadi kasus pertasan terparah yang dialami LastPass.

"Aktor peretasan juga dapat menyalin cadangan data brankas pelanggan dari encrypted storage container yang disimpan dalam format biner yang berisi data tak terenkripsi, seperti URL situs web, serta bidang sensitif yang dienkripsi penuh seperti situs web," ujar Karim.

"Nama pengguna, kata sandi, secure notes, dan data formulis yang telah diisi," sambungnya.

Engadget
Engadget

Ilustrasi aplikasi LastPass diretas

Meski berhasil mendapatkan data pelanggan LastPass, Karim mengklaim bahwa beberapa data brankas yang dicuri "dienkripsi dengan aman".

Karim mengatakan bahwa LastPass mengenkripsi data pengguna dengan AES 256-bit.

Data tersebut disebut hanya dapat didecrypt dengan kunci enkripsi unik yang berasal dari kata sandi utama setiap pengguna.

Menurut Karim Toubba, kata sandi utama pengguna tak pernah diketahui oleh LastPass dan tidak disimpan di sistem LastPass,

Karim Toubba mengklaim bahwa pelaku membutuhkan waktu jutaan tahun untuk menebak kata sandi utama pengguna LastPass apabila mereka menggunakan teknologi pembobol kata sandi yang tersedia secara umum.

(*)

Tag

Editor : Wahyu Subyanto