Otoritas federal mengonfirmasi kaitan antara peretasan LastPass 2022 dan pemerasan siber

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2025-03-09 | 1 komentar | Bagikan ke WhatsApp

  • September 2023, insiden peretasan LastPass

    • Pada September 2023, KrebsOnSecurity melaporkan bahwa kata sandi master LastPass dicuri, yang menyebabkan pencurian siber senilai ratusan ribu dolar dari beberapa korban.
    • Penyelidik federal AS mencapai kesimpulan yang sama saat menyelidiki pencurian kripto senilai $150 juta yang terjadi pada 30 Januari 2024.

  • Insiden pencurian kripto

    • Pada 6 Maret 2024, jaksa federal di California Utara mengumumkan telah memulihkan aset kripto senilai sekitar $24 juta setelah insiden pencurian siber senilai $150 juta.
    • Korban dalam kasus ini diduga adalah salah satu pendiri Ripple, Chris Larsen.

  • Hasil penyelidikan federal

    • Secret Service AS dan FBI mencapai kesimpulan yang sama terkait kasus pencurian yang berhubungan dengan peretasan LastPass.
    • Mereka memastikan bahwa data dan kata sandi yang dicuri digunakan untuk mengakses secara ilegal akun pengelola kata sandi online milik korban, lalu mencuri kripto dan data lainnya.

  • Ciri umum para korban

    • Peneliti keamanan Nick Bax dan Taylor Monahan menemukan bahwa para korban tidak mengalami serangan umum seperti pembobolan email, akun seluler, atau SIM swapping.
    • Semua korban menyimpan seed phrase kripto di "Secure Notes" pada akun LastPass mereka.

  • Pola pencurian yang kompleks

    • Dana yang dicuri dengan cepat dipindahkan ke banyak akun di berbagai bursa kripto.
    • Pemerintah menilai pola pencurian yang kompleks ini dilakukan melalui kerja sama beberapa pelaku jahat.

  • Respons LastPass

    • LastPass menyatakan belum melihat bukti yang meyakinkan dari penyelidik federal maupun sumber lain bahwa kasus pencurian tersebut terkait dengan peretasan LastPass.
    • Pada Agustus 2022, LastPass mengumumkan telah mendeteksi aktivitas tidak normal di lingkungan pengembangan perangkat lunaknya, dan bahwa sebagian source code serta informasi teknis telah dicuri.
    • Pada November 2022, LastPass memberi tahu pelanggan bahwa vault kata sandi terenkripsi dan informasi pribadi telah diretas.

  • Pandangan para pakar keamanan

    • Banyak korban menggunakan kata sandi master dengan kompleksitas rendah, yang menunjukkan mereka kemungkinan adalah pelanggan lama LastPass.
    • LastPass tampaknya mewajibkan kata sandi yang lebih kompleks bagi pengguna baru, tetapi gagal menerapkannya pada pelanggan lama.

  • Perlunya penguatan keamanan

    • Para peneliti berpendapat bahwa LastPass seharusnya menyarankan pelanggan untuk mengganti kata sandi mereka.
    • Terlepas dari respons negatif LastPass, para peneliti keamanan menekankan perlunya langkah tambahan untuk mencegah lebih banyak peretasan.

Bacaan terkait

1 komentar

 
GN⁺ 2025-03-09
Komentar Hacker News
  • 1Password tidak mendapatkan cukup pengakuan karena memilih mengenkripsi semua vault dengan secret key tingkat lanjut. Ini memang mengorbankan pengalaman pengguna dan menambah beban dukungan, tetapi akibatnya kebocoran data tidak menjadi masalah besar
  • LastPass meremehkan kebocoran data dan tidak mengenkripsi data seperti bagian catatan dengan benar. Mereka menghindari tanggung jawab, tetapi seharusnya digugat
  • LastPass tahu bahwa master password pengguna tidak cukup aman, tetapi tidak bertindak secara proaktif. Ini tidak bisa dimaafkan
  • Orang-orang yang menggunakan LastPass harus pindah ke opsi yang lebih tepercaya seperti 1Password, Bitwarden, dan Keepass, serta mengganti semua kata sandi penting
  • Bingung bagaimana peretasan LastPass bisa menyebabkan hilangnya kata sandi. Saya kira cara kerjanya seperti 1Password, jadi kalau begitu seharusnya tetap sangat sulit atau mustahil. Adakah yang bisa menjelaskan bagaimana password manager atau LastPass berbeda?
  • Di 1Password, kunci dekripsi dibagi menjadi dua bagian: satu kata sandi pengguna + secret key. Keduanya dibutuhkan. Secret key dibuat secara acak dan panjangnya sekitar 128 bit. 1Password membuatnya dan mengirimkannya ke pengguna, tetapi tidak pernah melihatnya lagi. Jadi meskipun vault dicuri, penyerang tetap harus memecahkan kata sandi dan secret key 128-bit itu, sehingga keamanan minimal 128 bit tetap terjamin
  • Lalu apa bedanya LastPass? Apakah secret key-nya juga dicuri? Apakah vault yang dicuri menjadi sasaran serangan tambahan untuk mengekstrak secret key? Bukankah LastPass memakai struktur yang mirip dengan 1Password? Atau apakah saya juga harus menganggap 1Password tidak aman?
  • Saya tidak memakai LastPass sejak pelanggaran keamanan besar kedua pada 2013. Wikipedia hanya mencantumkan total 3 insiden, tetapi saya pernah melihat setidaknya 5 laporan dari 2010 sampai sekarang. Selama itu saya terus melihat perusahaan memakai LastPass, dan setiap kali saya selalu heran
  • LastPass mengklaim tidak ada bukti yang menghubungkan dua insiden itu. Tetapi sulit dipercaya bahwa orang-orang yang menyimpan "koleksi" senilai jutaan dolar setidaknya tidak mengganti kata sandi setiap tahun
  • Rotasi kata sandi memang bukan lagi praktik terbaik, tetapi dalam kasus ini itu tetap pilihan yang bijak
  • Tetap tenang sambil melihat KeepassXC lokal saya
  • Katanya simpan kata sandi di cloud, dan katanya tidak akan ada masalah
  • Memusatkan kredensial semua orang tetap merupakan ide yang paling berisiko. Satu-satunya hal yang mungkin lebih menarik bagi peretas adalah obat peningkat performa gratis, tetapi itu hanya sebentar, lalu mereka akan kembali mencoba mencuri kredensial semua orang
  • Target lain: semua informasi identitas pribadi setiap orang, informasi tentang teman, keluarga, dan hewan peliharaan mereka, jawaban atas pertanyaan keamanan, ID seluler, nomor PIN, nomor rekening, tanda tangan, foto, sidik jari, pola suara, pemindaian wajah dan retina, gaya berjalan, DNA, RNA mitokondria
  • Saya ingat ketika LastPass pertama kali muncul, semua orang menganggapnya lemah dan tidak bisa dipercaya. Pepperidge Farm juga ingat
  • Apa yang dilakukan orang-orang yang sangat peduli soal keamanan untuk kata sandi? Rasanya pilihannya cuma memakai kata sandi yang sama untuk semuanya atau memakai password manager. Tetapi saya selalu khawatir kalau semua kata sandi terkumpul di satu tempat, maka kalau satu bocor bukan hanya satu yang terdampak, melainkan semuanya
  • Banyak solusi terasa seperti pertukaran dengan kenyamanan. Kita bisa menyimpan binder fisik penuh kata sandi di kantor rumah, tetapi repot harus mencarinya dan mengetiknya setiap kali, dan itu menjadi risiko besar bagi siapa pun yang punya akses fisik