LastPass kembali memberi tahu pengguna tentang kebocoran data lainnya

 (9to5mac.com)
1 poin oleh GN⁺ 5 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Pengguna LastPass menerima pemberitahuan bahwa data pribadi dan data kasus dukungan mereka terekspos akibat insiden pelanggaran di Klue, mitra eksternal
  • Cakupan akses dalam insiden ini dibatasi pada informasi kontak bisnis standar, data CRM, data kasus dukungan, dan data terkait penjualan, sementara vault kata sandi tidak terdampak
  • Data yang terekspos mencakup nama pelanggan, nomor telepon, alamat email, dan alamat fisik, dan platform Klue terintegrasi dengan sistem Salesforce dan Gong
  • Setelah mengetahui insiden tersebut, LastPass mencabut akses karyawan ke Klue dan mengganti token API yang terekspos, serta melakukan pemberitahuan ke penegak hukum dan penyelidikan melalui Klue dan Salesforce
  • Informasi kontak yang bocor dapat disalahgunakan untuk phishing dan serangan rekayasa sosial, sehingga pelanggan dan perusahaan perlu memeriksa indikator serangan yang dibagikan

Insiden pelanggaran Klue dan respons LastPass

  • LastPass mengirim email kepada pengguna yang terdampak oleh insiden pelanggaran di perusahaan riset pasar Klue
  • Melalui pelanggaran tersebut, peretas dapat mengakses informasi pelanggan dan data kasus dukungan
  • Informasi yang diakses dibatasi pada cakupan berikut
    • nama pelanggan, nomor telepon, alamat email, alamat fisik
    • data manajemen hubungan pelanggan (CRM)
    • data kasus dukungan
    • data terkait penjualan
  • Dalam insiden ini, vault kata sandi LastPass tidak terdampak
  • Platform Klue terintegrasi dengan sistem Salesforce dan Gong
  • Sebagai respons insiden, LastPass menjalankan pemblokiran akses dan prosedur investigasi
    • mencabut hak akses karyawan ke Klue
    • mengganti token API yang terekspos
    • memberi tahu penegak hukum
    • menyelidiki cakupan insiden dengan menghubungi Klue dan Salesforce

Indikator serangan dan insiden keamanan sebelumnya

  • Pelanggan perlu waspada terhadap serangan phishing atau upaya rekayasa sosial yang memanfaatkan informasi yang bocor
  • Indikator terkait penyerang dibagikan agar perusahaan dapat menelusuri aktivitas terkait di sistem mereka
    • Alamat IP:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • Domain pengirim email:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass juga pernah mengalami beberapa insiden keamanan di masa lalu
    • Pada 2015, alamat email akun, petunjuk kata sandi, hash autentikasi, dan salt enkripsi dicuri, tetapi tidak ada akses ke data vault yang terenkripsi
    • Pada 2022, penyerang membobol akun pengembang, mencuri kode sumber dan informasi teknis, lalu menggunakannya untuk mengakses cadangan cloud yang berisi catatan pelanggan dan vault kata sandi terenkripsi
    • Insiden yang sama pada 2022 juga mencakup informasi yang tidak terenkripsi seperti nama, alamat penagihan, alamat email, dan nomor telepon

Bacaan terkait

1 komentar

 
GN⁺ 5 jam lalu
Komentar Hacker News

  • Sekarang saya tidak tahu siapa yang masih bisa benar-benar memercayai LastPass
    Beberapa tahun lalu saya bekerja di perusahaan yang menangani data perbankan, dan bahkan tepat setelah insiden keamanan LastPass sebelumnya mereka tetap memakai LastPass dan tidak punya rencana untuk pindah

    • Banyak orang dan organisasi memakai produk keamanan bukan demi keamanan, melainkan demi teater keamanan
      Kebanyakan orang, bahkan di antara yang bertanggung jawab atas keamanan, mungkin tidak akan pernah mendengar soal pelanggaran ini, jadi bagi mereka LastPass masih terlihat berfungsi dengan baik
    • Jika kata sandinya masih belum diketahui, maka “pelanggaran” itu bukan kegagalan dari sudut pandang pengguna akhir
      Jika kata sandi master brankas tetap aman, dan satu-satunya cara mengakses brankas masih hanya lewat kata sandi master, maka fungsi yang diinginkan pengguna akhir tetap berjalan
      Kata “pelanggaran” tidak banyak berarti tanpa penjelasan syaratnya
    • Saya cukup banyak melakukan konsultasi keamanan untuk ratusan perusahaan, dan perusahaan yang benar-benar menganggap serius keamanan biasanya adalah perusahaan yang pernah mengalami pelanggaran
      Sebelum manajemen dan dewan direksi melihat sendiri dampak biayanya, hanya dengan membaca saja anggaran yang dibutuhkan untuk program keamanan hampir tidak pernah disetujui
      Ini bukan berarti saya merekomendasikan LastPass karena alasan itu, tetapi saya juga tidak akan langsung mencoretnya sepenuhnya hanya karena itu
    • Saya tidak mengerti bagaimana orang bisa percaya menyerahkan semua kata sandi dan kunci enkripsi mereka kepada pihak ketiga
      Menyiapkan KeePassXC itu sangat mudah

  • Perusahaan yang terdampak jauh lebih banyak. Sebagiannya tercantum di bawah

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • Saya tidak mengerti kenapa LastPass menyerahkan detail pelanggan ke perusahaan riset pasar
    Data seperti itu seharusnya dianonimkan sepenuhnya, tanpa nama, alamat spesifik, dan sebagainya
    Untuk orang yang mencari rekomendasi, saya memakai KeepassXC dan Keepass2Android. Keduanya open source, memakai basis data lokal, dan Anda bisa memilih sendiri apakah ingin sinkronisasi atau tidak. Saya menyinkronkannya lewat Own cloud

    • Saya sudah memakai pwsafe selama bertahun-tahun
      Ini juga gratis, open source, dan brankas lokal saja. Tidak perlu bergantung pada layanan cloud yang bisa kehilangan data karena inkompetensi
      Secara opsional Anda bisa menyimpan brankas di Dropbox atau iCloud Drive, tetapi saya tidak begitu paham kenapa itu perlu

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      Dari awal, kenapa data seperti itu harus dibagikan?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • Cara ini mungkin dalam beberapa hal bahkan lebih buruk daripada memakai LastPass, tetapi selama beberapa tahun terakhir saya hanya membuat lalu melupakan 90% kata sandi saya
    Hanya 10% sisanya yang saya simpan di pengelola kata sandi. Untuk layanan yang tidak terlalu penting, setiap kali login saya cukup pilih “lupa kata sandi”, lalu membuat dan mengganti kata sandi baru

    • Cara ini berhasil kalau akun tersebut tidak punya autentikasi dua faktor
      Pada aplikasi side project terakhir saya, pengguna bisa login hanya dengan kata sandi sekali pakai yang dikirim lewat email
      Memang ada kelemahan keamanan seperti phishing yang menipu pengguna agar memasukkan kata sandi sekali pakai ke situs palsu, tetapi karena aplikasinya tidak menyimpan hal sensitif, saya tidak menganggapnya sebagai risiko keamanan besar
    • Saya pernah kerepotan karena sudah tidak punya akses ke nomor telepon lama, tetapi SMS autentikasi dua faktor masih dikirim ke nomor itu
    • Karena itu banyak layanan mulai beralih memakai magic link email sebagai metode login
      Pada akhirnya, di banyak layanan, menguasai email pada dasarnya berarti menguasai login

  • Saya sudah beberapa tahun memakai Enpass karena dulu membeli lisensi seumur hidup dengan harga murah
    Enpass tidak meng-host layanan cloud sendiri untuk sinkronisasi kata sandi; pengguna mengautentikasi ke penyimpanan cloud mereka sendiri lalu sinkronisasi dilakukan ke sana. Saya memakai Google Drive
    Menurut saya pendekatan ini lebih baik. Kalau ada orang jahat masuk ke akun Google saya, itu sudah tamat juga, dan mungkin bahkan lebih buruk daripada sekadar masuk ke pengelola kata sandi
    Selain itu, pendekatan ini tidak menciptakan satu tumpukan data besar yang sangat menggiurkan jika ada pelanggaran terpusat. Untuk mencuri semua kata sandi Enpass, seseorang harus meretas Google Drive, Dropbox, iCloud, dan lain-lain, lalu mencari file itu secara manual

    • Apa bedanya ini dengan KeePass, misalnya?

  • Memang lucu melihat orang ramai-ramai menghujat LastPass karena pelanggaran lain lagi dan bilang menyerahkan data pelanggan ke pihak ketiga itu benar-benar tidak bertanggung jawab, tetapi kalau melihat sebentar apa yang sebenarnya terjadi, cerita di kepala orang dan kenyataan ternyata cukup berbeda
    Klue adalah salah satu layanan manajemen hubungan pelanggan yang dipakai banyak tim penjualan. Anda memang harus menyerahkan email kontak pelanggan dan catatan pelanggan seperti tim keuangan agar Klue bisa memberikan hal seperti “intelijen pasar” tentang pelanggan tersebut
    Kalau Anda datang ke tim penjualan dan melihat berbagai hal acak yang mereka sambungkan ke sistem mereka, kemungkinan besar Anda akan menemukan hal serupa
    Terlepas dari apakah ini ide yang bagus atau tidak, saya pribadi sangat tidak suka, tetapi memang begitulah cara tim penjualan bekerja sekarang. Kalau Anda mencoba merebutnya, Anda akan berhadapan dengan seluruh organisasi penjualan
    Saya justru lebih heran pelanggaran seperti ini tidak lebih sering terjadi
    Basis data kata sandi LastPass yang sebenarnya tidak terdampak
    Saya tidak punya hubungan dengan organisasi mana pun yang terlibat

    • I am more surprised that these breaches don't happen more often.
      Sebenarnya ini sering terjadi

  • Mungkin sudah waktunya LastPass rebranding menjadi First0wned

  • Jika ada perusahaan yang tetap memakai atau baru mengadopsi LastPass setelah brankasnya bocor, saya rasa mereka tidak akan terlalu peduli soal yang kali ini karena ini cuma data CRM
    Saya agak bisa memahami perusahaan yang tetap memakai LastPass. Saat harus memindahkan organisasi dari LastPass ke 1Password, pekerjaannya luar biasa besar dan benar-benar merepotkan
    Tetapi saya sulit bersimpati kepada siapa pun yang masih memilih LastPass setelah 2022

    • Bagian yang tidak terlalu serius di sini adalah karena pentingnya data tersebut rendah
      Inti yang sebenarnya adalah bahwa LastPass semestinya bisa berbuat lebih baik, sekecil apa pun masalahnya
      Kalau perusahaan Anda bergerak di penyimpanan kata sandi, standar yang dibutuhkan untuk dipercaya harus lebih tinggi dari ini

  • Saya sudah lama meninggalkan LastPass dan pindah ke BitWarden, tetapi sekarang sebagian besar memakai aplikasi Passwords milik Apple