Otoritas federal mengonfirmasi kaitan pencurian kripto Rp2,25 triliun dengan peretasan LastPass 2022
(krebsonsecurity.com)- Lembaga investigasi federal AS menilai pencurian kripto sekitar 150 juta dolar AS ($150m) yang terjadi pada 30 Januari 2024 terkait dengan brankas kata sandi yang dicuri dalam pelanggaran LastPass pada 2022
- Kejaksaan Federal Distrik California Utara pada 6 Maret 2025 menjalankan prosedur penyitaan resmi atas aset kripto senilai sekitar 24 juta dolar AS ($24m) yang telah dibekukan dari dana curian tersebut
- Dokumen penyitaan memuat penilaian FBI dan U.S. Secret Service bahwa data dan kata sandi curian yang tersimpan di pengelola kata sandi online digunakan untuk mengakses akun dan mencuri kripto
- Para peneliti keamanan menemukan kesamaan bahwa para korban menyimpan frasa seed kripto di “Secure Notes” LastPass sebelum pelanggaran 2022, tanpa adanya serangan pendahuluan khas seperti SIM swapping
- LastPass menyatakan belum pernah menerima bukti konklusif yang membuktikan kaitan tersebut, tetapi kata sandi master yang lemah dan jumlah iterasi rendah pada akun lama masih tetap menjadi risiko cracking offline
Pencurian 150 juta dolar AS dan proses penyitaan
- Kejaksaan Federal Distrik California Utara menyatakan telah menyita aset kripto senilai sekitar 24 juta dolar AS pada 6 Maret 2025, yang sebelumnya dipulihkan dan dibekukan setelah pencurian kripto 150 juta dolar AS pada 30 Januari 2024
- Korban dalam dokumen penyitaan hanya disebut sebagai “Victim-1”, tetapi menurut peneliti keamanan blockchain ZachXBT, korban tersebut adalah Chris Larsen, salah satu pendiri platform kripto Ripple
- ZachXBT dikenal sebagai orang yang pertama kali mengungkap kasus pencurian ini
- Langkah ini merupakan prosedur yang memungkinkan aparat penyidik untuk menyita secara resmi dana yang sudah dibekukan
Kaitan dengan pelanggaran LastPass
- Inti dokumen penyitaan adalah bahwa U.S. Secret Service dan FBI mencapai kesimpulan yang sama dengan analisis KrebsOnSecurity pada September 2023 tentang pelanggaran LastPass
- Pada September 2023, para peneliti keamanan menilai bahwa kata sandi master dari brankas kata sandi yang dicuri dari LastPass pada 2022 telah berhasil di-crack, sehingga pencurian kripto bernilai ratusan ribu dolar berulang kali menimpa sejumlah korban
- Dokumen penyitaan memuat pernyataan bahwa FBI telah menyelidiki pelanggaran data terkait, dan penyidik kasus ini berbicara dengan agen FBI lalu mengetahui hal berikut
- Data dan kata sandi curian yang tersimpan di akun pengelola kata sandi online milik beberapa korban digunakan untuk mengakses akun elektronik tanpa izin
- Melalui akses ini, informasi, kripto, dan data lainnya dicuri
- Dokumen tersebut menyatakan ada alasan kuat untuk meyakini bahwa pelaku yang sama menggunakan kata sandi curian yang tersimpan di akun pengelola kata sandi online milik Victim-1 untuk mengakses dompet atau akun kripto tanpa izin
Pola yang berulang pada para korban
- Peneliti keamanan Nick Bax dan Taylor Monahan menyelidiki puluhan korban dan menilai tidak terlihat serangan pendahuluan yang biasanya muncul sebelum pencurian kripto bernilai besar
- Pembobolan akun email
- Pembobolan akun ponsel
- Serangan SIM swapping
- Kesamaan para korban adalah mereka menyimpan frasa seed kripto di area “Secure Notes” akun LastPass sebelum pelanggaran LastPass 2022
- Frasa seed adalah kode rahasia yang memungkinkan akses ke kepemilikan kripto, dan siapa pun yang memilikinya dapat mengakses aset tersebut
- Bax dan Monahan juga menemukan kesamaan dalam pola pencairan, yakni dana curian dengan cepat dipindahkan ke banyak akun drop yang tersebar di berbagai bursa kripto
- Pemerintah menyatakan kasus korban salah satu pendiri Ripple juga memiliki tingkat kompleksitas serupa
- Skala pencurian dan penyebaran dana yang cepat kemungkinan memerlukan upaya dari beberapa pelaku jahat
- Pola ini dinilai konsisten dengan pelanggaran pengelola kata sandi online dan pencurian kripto dari korban serupa
Bantahan LastPass dan kronologi pelanggaran 2022
- LastPass menyatakan belum pernah menerima bukti konklusif dari lembaga investigasi federal atau pihak lain bahwa pencurian kripto tersebut terkait dengan pelanggaran LastPass
- Perusahaan menjelaskan bahwa sejak pengungkapan insiden 2022, mereka telah bekerja sama erat dengan perwakilan dari berbagai lembaga penegak hukum
- LastPass menyatakan telah berinvestasi besar untuk memperkuat langkah keamanan dan akan terus melakukannya
- Alur pengungkapan pelanggaran 2022 berubah secara bertahap
- Pada 25 Agustus 2022, CEO LastPass Karim Toubba memberi tahu pengguna bahwa aktivitas tidak biasa terdeteksi di lingkungan pengembangan perangkat lunak, dan penyusup telah mencuri sebagian kode sumber serta informasi teknis proprietari
- Pada 15 September 2022, LastPass menyatakan bahwa berdasarkan hasil investigasi pelanggaran Agustus, penyerang tidak mengakses data pelanggan maupun brankas kata sandi
- Pada 30 November 2022, LastPass memberi tahu pelanggan tentang insiden keamanan yang lebih serius yang memanfaatkan data yang dicuri dalam pelanggaran Agustus, dan mengungkap bahwa salinan terenkripsi dari sebagian brankas kata sandi serta informasi pribadi lainnya telah dibobol
Cracking offline dan risiko akun lama
- Para pakar menilai pelanggaran tersebut memberi penyerang akses offline ke brankas kata sandi terenkripsi, sehingga mereka dapat mencoba meng-crack kata sandi master yang lemah dalam waktu lama menggunakan sistem bertenaga tinggi
- Sistem semacam ini dapat mencoba jutaan tebakan kata sandi per detik
- Para peneliti menilai banyak korban pencurian kripto menggunakan kata sandi master dengan kompleksitas relatif rendah dan termasuk dalam kelompok pelanggan lama LastPass
- Pengguna LastPass lama lebih mungkin memiliki jumlah iterasi (iterations) yang jauh lebih rendah untuk perlindungan kata sandi master
- Jumlah iterasi berarti berapa kali kata sandi melewati rutinitas enkripsi perusahaan
- Secara umum, makin banyak iterasi, makin lama waktu yang dibutuhkan penyerang offline untuk meng-crack kata sandi master
- Seiring waktu, LastPass mewajibkan pengguna baru memakai kata sandi master yang lebih panjang dan lebih kompleks, serta beberapa kali menaikkan jumlah iterasi secara signifikan
- Para peneliti menilai ada indikasi kuat bahwa LastPass tidak berhasil memutakhirkan banyak pelanggan lama ke persyaratan kata sandi dan tingkat perlindungan baru
Peringatan peneliti dan risiko yang tersisa
- Bax mengatakan setelah peringatan pada 2023, ia berharap orang-orang memindahkan dana ke dompet kripto baru, tetapi hanya sebagian yang melakukannya dan pencurian terus berlanjut
- Bax mengatakan konfirmasi Secret Service dan FBI atas analisis para peneliti memang bermakna, tetapi akan lebih baik jika peretasan semacam ini sendiri berkurang
- Bax menilai ancaman tersebut masih nyata, dengan menyebut ZachXBT dan SEAL 911 juga melaporkan gelombang pencurian lain pada Desember 2024
- Monahan mengkritik LastPass karena belum memberi tahu pelanggan bahwa informasi rahasia yang tersimpan, termasuk rahasia yang disimpan di “Secure Notes”, dapat berada dalam risiko
- Monahan menilai LastPass bisa saja merekomendasikan pengguna mengganti kredensial mereka, dan hal itu dapat mencegah pelaku ancaman mencuri jutaan dolar
1 komentar
Komentar Hacker News
1Password memilih mengenkripsi semua vault dengan secret key berentropi tinggi yang ditransfer antarperangkat, dan rasanya aspek ini kurang mendapat pengakuan
Pengalaman pengguna dan beban dukungan jelas menjadi lebih besar, tetapi pilihan seperti ini kemungkinan membuat insiden pembobolan semacam ini nyaris tidak menimbulkan kerugian besar
Bisa dijalankan sendiri di mesin virtual pada server di bawah meja
Saya tidak tahu apakah perusahaan-perusahaan seperti ini masih ada 50 tahun lagi, tetapi kalau cucu-cucu saya menginginkannya, mereka mungkin bisa membuka file gzip terenkripsi gpg yang saya tinggalkan sebagai ciphertext dan melihat kata sandi dalam CSV
Jika semua komputer hilang karena kebakaran atau banjir, recovery key juga lenyap, dan database tidak bisa dipulihkan hanya dengan kata sandi
Saya memakai KeePassXC dengan kata sandi yang agak panjang dan jumlah iterasi PBKDF yang tinggi; meski perangkat hilang, pemulihannya tidak membutuhkan perangkat tertentu
LastPass-lah yang tidak memenuhi standar
LastPass mengecilkan skala insiden pembobolan, dan terungkap bahwa data seperti area catatan pun tidak dienkripsi dengan benar
Seharusnya mereka benar-benar dihancurkan lewat gugatan, tetapi sejauh ini mereka berhasil menghindari tanggung jawab
LastPass hanya punya satu tugas, dan mereka gagal melakukannya. Sulit memaafkan bahwa mereka tahu master password pengguna tidak cukup aman tetapi tidak memberi tahu secara aktif atau mengambil langkah proaktif
Jika Anda masih memakai LastPass sekarang, sebaiknya pindah hari ini ke opsi yang lebih tepercaya seperti 1Password, Bitwarden, KeePass, dan ganti semua kata sandi yang penting bagi Anda
https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
Perkaranya perlu dilihat langsung, tetapi karena ini gugatan kelompok, kalau kalah dampaknya besar, dan sekalipun menang biayanya tidak akan kecil
Tampaknya pengadilan menggabungkan beberapa perkara ke kasus ini; sejauh ini LastPass sudah digugat 15 kali di pengadilan federal
https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
Ekspor dari LastPass, impor ke Bitwarden, lalu cukup membiasakan diri dengan beberapa UI quirks yang tidak bisa dihindari
Saya agak bingung bagaimana peretasan LastPass bisa berujung pada kebocoran kata sandi
Jika mengikuti pemahaman saya tentang cara kerja 1Password, hal itu seharusnya masih sangat sulit atau mustahil; saya penasaran apa yang saya salah pahami tentang password manager atau cara kerja LastPass
Sejauh yang saya pahami, pada 1Password kunci dekripsi dibagi menjadi satu kata sandi pengguna dan secret key, dan keduanya diperlukan untuk mendekripsi vault
Secret key dibuat secara acak dan tampaknya sekitar 128-bit; setahu saya, baik 1Password yang membuat lalu mengirimkannya ke pengguna maupun dibuat secara lokal, setelah itu mereka tidak melihatnya lagi
Jadi meskipun vault dicuri, penyerang harus memecahkan bukan hanya kata sandi yang bisa relatif lemah, tetapi juga secret key 128-bit, sehingga setidaknya keamanan 128-bit tetap terjamin, bukan?
Apa yang berbeda pada LastPass? Apakah secret key juga ikut dicuri? Apakah target dari vault yang dicuri mendapat serangan tambahan sehingga secret key mereka bocor? Apakah LastPass tidak memakai struktur yang mirip dengan 1Password? Atau apakah 1Password tidak seaman yang saya kira saat menggunakannya?
Setelah pembobolan, mereka buru-buru menaikkan jumlah iterasi hash [1], dan juga menambahkan fitur agar admin perusahaan bisa menetapkan jumlah iterasi minimum [2], tetapi saat itu semuanya sudah terlambat
[1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
[2] https://support.lastpass.com/s/document-item?language=en_US&...
Metadata mencakup informasi seperti URL, sehingga memungkinkan penyerang memprioritaskan vault yang lebih bernilai untuk dibobol
Misalnya, jika sebuah vault hanya berisi login facebook.com dan google.com, mereka bisa melewatinya; tetapi jika berisi coinbase dan 10 situs kripto lain, mereka bisa mengeluarkan beberapa ribu dolar untuk mencoba membobolnya
Sumber: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
Dengan kata lain, LastPass memegang seluruh kunci
Namun dalam lingkungan perusahaan, karena kata sandi bisa direset ketika pengguna lupa, 1Password mungkin juga bisa “mengetahui” kata sandi pengguna
Ada kemungkinan versi lama atau versi pribadi lebih aman
Saya meninggalkan LastPass sekitar 2013 setelah pelanggaran keamanan besar kedua
Di Wikipedia total insidennya hanya tercatat 3, tetapi sejak 2010 sampai sekarang saya ingat melihat setidaknya 5 di pemberitaan
Selama itu saya terus menjumpai LastPass di berbagai perusahaan, dan setiap kali jujur saja saya terkejut. Kalau tertipu lima kali, harus disebut apa…
Sekarang rasanya ini sudah praktis menjadi praktik bisnis
Kalau ada kasus keracunan makanan, pemerintah menutup restorannya, tapi dalam kasus ini saya tidak paham kenapa tidak melakukan apa-apa
Apalagi kalau uang ini semuanya mengalir ke negara-negara poros, ini jauh lebih serius
Saya bisa memahami LastPass menganggap tidak ada bukti keterkaitan di antara keduanya
Tapi sulit juga percaya bahwa orang-orang yang menyimpan “koleksi” bernilai jutaan dolar setidaknya tidak mengganti kata sandi setiap tahun
Saya tahu rotasi kata sandi berkala tanpa tujuan tidak lagi dianggap praktik terbaik, tetapi dalam kasus ini bukankah itu masih terlihat sebagai langkah yang cukup hati-hati?
Harus membuat dompet baru dan memindahkan aset
Saya menatap KeePassXC lokal saya dan tetap memakainya dengan tenang
Saya tidak tahu bagaimana kita bisa kembali ke keadaan yang sederhana. Misalnya ada keluarga beranggotakan 3 orang dengan layanan dan akun bersama; kalau mau menaruh semuanya di KeePass, kita harus mengurus sendiri sinkronisasi file di semua perangkat dan sistem operasi
Dalam proses itu kredensial bisa saja melewati layanan sinkronisasi pihak ketiga, dan kalau begitu sebagian besar keunggulan KeePass hilang
Beralih ke instance seperti Bitwarden yang di-hosting sendiri mungkin jalur yang tepat, tetapi itu berarti salah satu anggota keluarga harus menjadi sysadmin khusus seumur hidup untuk menjaga instance itu tetap aman sekaligus bisa diakses kapan saja dan di mana saja
Beberapa hal tidak boleh naik ke internet
Bagaimana menangani fitur seperti berbagi keluarga atau akses darurat?
Mereka bilang taruh saja kata sandi di cloud, dan tidak akan terjadi apa-apa
Tapi apakah orang-orang mendengarnya? Tidak
Setelah sekian lama, memusatkan kredensial semua orang masih terlihat seperti ide paling berbahaya
Kalau ada yang lebih menarik bagi peretas, mungkin hanya seks dan narkoba gratis, tapi itu pun sebentar saja, dan akhirnya mereka akan kembali mencuri kredensial semua orang
Target lain juga banyak. PII semua orang, informasi teman·keluarga·hewan peliharaan, jawaban pertanyaan keamanan, ID mobile, nomor PIN, nomor rekening, tanda tangan, foto, sidik jari, pola suara, pemindaian wajah·retina, gaya berjalan, DNA, bahkan RNA mitokondria
Vaultwarden yang di-hosting sendiri adalah yang terbaik. Kalau tidak, jangan sampai mengacaukannya
Saya penasaran bagaimana orang yang peduli keamanan mengelola kata sandi
Rasanya pilihannya memakai kata sandi yang sama di semua tempat, atau membutuhkan pengelola kata sandi dalam bentuk apa pun, tetapi kalau mengumpulkan semua kata sandi di satu tempat saya selalu khawatir bukan cuma satu, melainkan semuanya akan bocor
Banyak solusi juga tampaknya punya kompromi dari sisi kenyamanan
Bisa saja menaruh binder fisik berisi kata sandi di ruang kerja rumah, tetapi repot mencarinya dan mengetiknya setiap kali, dan itu menjadi risiko besar bagi siapa pun yang punya akses fisik ke rumah
Jika memungkinkan dan lebih suka hosting sendiri, Vaultwarden juga bagus
Selama terhubung ke internet, pada suatu titik Anda harus mempercayai seseorang, dan risikonya bisa dikurangi dengan 2FA yang kuat (bukan SMS/email) serta backup vault
Setelah dimasukkan ke vault, semua kata sandi perlu direset pada suatu titik
Dengan ekstensi atau aplikasi Bitwarden, memakai kata sandi panjang dan acak yang dibuat otomatis cukup mudah
Sebaiknya aktifkan juga 2FA yang kuat di tiap layanan
https://bitwarden.com/help/setup-two-step-login/
https://bitwarden.com/resources/guide-how-to-create-and-stor...
Database KeePass saya disinkronkan lewat cloud, tetapi file passkey yang digunakan untuk membukanya bersama kata sandi tidak pernah keluar dari mesin tersebut
Selain itu, file kunci memerlukan hak admin untuk dibaca, jadi KeePass dijalankan dengan elevasi hak akses; ini juga melindungi ruang memori proses dari pengintipan di ruang pengguna
Saya tidak mengingat kata sandi sebenarnya, melainkan mengingat algoritma untuk membuat kata sandi per situs atau layanan
Tidak sempurna, tetapi sebagian besar kata sandi menjadi unik
Saya tidak tahu bagaimana para ahli menilainya, tetapi sejauh ini bekerja dengan baik bagi saya
Saya ingat ketika LastPass pertama kali muncul, semua orang menganggapnya lemah dan tidak bisa dipercaya
Pepperidge Farm mengingatnya
Namun itu sekitar 2013, saat masih masa startup awal
Yang lebih buruk daripada jumlah iterasi hash kata sandi yang rendah adalah bahwa selama memakai LastPass saya tidak tahu banyak metadata tidak dienkripsi, dan itu sangat mengkhawatirkan
Baik dulu maupun sekarang saya memakai ciphertext 96-bit, jadi dari sudut pandang serangan offline saya mungkin aman dari pelanggaran itu, tetapi metadata pasti terekspos, jadi rasanya tidak nyaman
Saya pindah ke 1Password pada 2017, jadi saya berharap data saya sudah dihapus sebelum pelanggaran, tapi siapa yang tahu
Apakah kekhawatiran itu pernah dijelaskan secara jelas, bukan sekadar omongan samar seperti “pengelola kata sandi adalah titik kegagalan tunggal!”?