Beberapa dari pengelola kata sandi terbaik memahami peran mereka dengan sempurna — kenyamanan tambahan bagi pengguna tanpa mengorbankan keamanan mereka. LastPass termasuk yang terbaik hingga saat ini, tetapi serangkaian insiden keamanan telah menghilangkan kredibilitas dan reputasinya. Menumpuk penghinaan pada cedera, insiden keamanan lain di perusahaan kini terungkap, kali ini melibatkan komputer rumah karyawan senior dan kredensial Plex.

Untuk diingat, LastPass menderita a pelanggaran pada Agustus tahun lalu, yang memungkinkan peretas mencuri kode sumber pengelola kata sandi. Setelah penyelidikan, manajemen menyatakan bahwa data pengguna aman sampai insiden keamanan terkait lainnya terungkap pada Desember 2022. Ini melibatkan pelanggaran komputer pribadi karyawan, yang memungkinkan akses ke cadangan brankas pengguna LastPass. Hampir dua bulan telah berlalu sejak wahyu ini, dan LastPass sekarang mengonfirmasi pelaku jahat pasti memiliki akses ke data brankas pelanggan.

Informasi yang dilanggar termasuk data teks biasa, teks terenkripsi, data situs web seperti nama pengguna dan kata sandi, catatan aman, dan informasi untuk mengisi formulir. LastPass menjelaskan sekarang sudah jelas bahwa serangan ini terkait dengan pelanggaran Agustus, tetapi itu menimbulkan pertanyaan bagaimana serangan sebesar ini terbang di bawah radar perusahaan. Posting blog LastPass mengatakan peretas menargetkan salah satu insinyur DevOpsnya. Seorang sumber anonim memberi tahu Ars Technica para peretas mengeksploitasi kerentanan di Plex yang dipasang di komputer insinyur, memungkinkan mereka memasang malware keylogging. Namun, selain satu sumber anonim, tidak ada yang mengikat Plex dengan pelanggaran LastPass.

Keylogger menangkap Kata Sandi Utama insinyur untuk lemari besi LastPass yang digunakan oleh staf lain. Hanya empat orang yang diizinkan mengakses brankas penggunaan internal ini, tetapi tanpa sepengetahuan teknisi ini, keylogger menangkap semua kredensial autentikasi multi-faktor dan meneruskannya ke peretas. Vault perusahaan yang sekarang didekripsi ini berisi kunci dekripsi untuk cadangan produksi Amazon Web Services (AWS) S3 terenkripsi sisi server dari vault pelanggan, cadangan basis data LastPass yang penting, dan akses ke sumber daya penyimpanan cloud lainnya.

Meskipun pelanggaran ini terkait dengan insiden Agustus, itu tetap tidak terdeteksi selama ini karena LastPass mengakui modus operandinya berbeda untuk kedua serangan tersebut, meskipun keduanya terkait. Hanya ketika peretas menggunakan data dari cadangan AWS S3, peneliti pengelola kata sandi mengetahui apa yang terjadi. Secara khusus, aktor jahat menggunakan peran Manajemen Identitas dan Akses dari cadangan AWS S3, menghentikan sistem peringatan Amazon untuk penggunaan yang tidak sah.

Kami mengagumi LastPass karena transparansinya dan keyakinannya pada brankasnya sendiri, tetapi sayangnya, kami harus sangat mendesak semua penggunanya untuk mengubah kata sandi utama dan kata sandi yang disimpan. Jika Anda cukup terguncang oleh reputasi perusahaan yang runtuh beberapa bulan terakhir ini, kami telah menyusun daftar alternatif LastPass terbaik sementara rekan kami Karandeep berdiri kokoh di samping Enpass.