Bagaimana pembobolan data LastPass terjadi & cara menghindarinya?

Pembobolan data LastPass tahun 2022-2023 menjadi pengingat tentang bagaimana serangan siber yang canggih dapat berujung pada bencana keamanan jangka panjang. Analisis komprehensif ini menguraikan insiden tersebut, dampaknya, dan pelajaran penting bagi organisasi yang ingin memperkuat postur keamanan mereka.

Dampak: Dalam Angka#

Konsekuensi dari pembobolan ini sangat parah dan berdampak jangka panjang:

• 33 juta pengguna terdampak
• 4,4 juta dolar AS dicuri dari 25+ korban
• 5 juta dolar AS dilaporkan dicuri dalam satu minggu
• 15 juta dolar AS dicuri dalam bentuk mata uang kripto

Poin-poin Utama#

• Satu akun pengembang yang disusupi menyebabkan pembobolan yang memengaruhi 33 juta pengguna LastPass
• Penyerang mendapatkan akses ke brankas kata sandi yang dienkripsi dan informasi pelanggan
• Lebih dari 15 juta dolar AS telah dicuri dalam pencurian mata uang kripto yang terkait dengan pembobolan ini
• Insiden ini menyoroti kerentanan kritis dalam keamanan kerja jarak jauh dan respons insiden

Penyusupan Awal - Agustus 2022#

Pembobolan dimulai ketika penyerang mendapatkan akses tidak sah ke lingkungan pengembangan LastPass melalui satu akun pengembang yang disusupi. Pada tahap ini, penyerang memperoleh:

• Sebagian dari kode sumber LastPass
• Informasi teknis eksklusif
• Akses ke sumber daya lingkungan pengembangan

Eskalasi - November/Desember 2022#

Apa yang awalnya tampak terkendali dengan cepat meningkat ketika penyerang memanfaatkan informasi yang dicuri untuk:

• Mengakses layanan penyimpanan cloud pihak ketiga milik LastPass
• Memperoleh salinan cadangan dari data brankas pelanggan
• Menyusupi informasi akun pelanggan yang tidak dienkripsi

Perkembangan Kritis - Maret 2023#

Dalam pembaruan yang mengungkap banyak hal, LastPass mengungkapkan bahwa penyerang telah:

• Menyusupi komputer rumah pribadi milik seorang insinyur senior DevOps
• Mengeksploitasi kerentanan dalam perangkat lunak media pihak ketiga
• Menyebarkan malware keylogger untuk menangkap kata sandi utama
• Mendapatkan akses ke kunci dekripsi penting

Data Apa Saja yang Disusupi?#

Informasi Pelanggan#

• Nama perusahaan
• Nama pengguna akhir
• Alamat penagihan
• Alamat email
• Nomor telepon
• Alamat IP

Data Teknis#

• Cadangan brankas pelanggan
• Rahasia DevOps
• Penyimpanan cadangan berbasis cloud
• Cadangan Database Federasi/MFA

Pelajaran Keamanan Penting bagi Organisasi#

1. Implementasikan Segmentasi Jaringan yang Kuat#

• Pisahkan sistem dan data penting
• Buat zona keamanan dengan tingkat akses yang berbeda
• Implementasikan kontrol akses yang ketat antar segmen
• Pantau lalu lintas antar segmen jaringan

2. Perkuat Keamanan Kerja Jarak Jauh#

• Tetapkan kebijakan yang jelas untuk perangkat kerja dari rumah
• Batasi penginstalan perangkat lunak pribadi di perangkat kerja
• Implementasikan perlindungan titik akhir yang kuat
• Audit keamanan rutin untuk pengaturan kerja jarak jauh

3. Tingkatkan Respons Insiden dan Komunikasi#

• Kembangkan prosedur respons insiden yang jelas
• Pertahankan komunikasi yang transparan dengan pemangku kepentingan
• Dokumentasikan dan perbarui insiden keamanan dengan cepat
• Berikan pembaruan rutin selama insiden yang sedang berlangsung

4. Tingkatkan Manajemen Kata Sandi dan Akses#

• Implementasikan autentikasi multi-faktor di semua sistem
• Wajibkan kata sandi yang kuat dan unik untuk setiap akun
• Rotasi kata sandi rutin dan audit keamanan
• Gunakan pengelola kata sandi dengan fitur keamanan yang kuat

Tindakan Pencegahan bagi Organisasi#

1. Kontrol Teknis#

• Implementasikan arsitektur zero-trust
• Terapkan perlindungan titik akhir tingkat lanjut
• Penilaian keamanan rutin dan uji penetrasi
• Pemantauan dan pencatatan log yang berkelanjutan

2. Kontrol Administratif#

• Pelatihan keamanan rutin bagi karyawan
• Kebijakan dan prosedur keamanan yang jelas
• Manajemen risiko vendor
• Perencanaan respons insiden

Kesimpulan#

Pembobolan data LastPass berfungsi sebagai pelajaran penting mengenai arti penting dari tindakan keamanan yang komprehensif dan respons insiden yang tepat. Organisasi harus mengambil pendekatan proaktif terhadap keamanan, mengimplementasikan berbagai lapisan perlindungan sambil bersiap menghadapi potensi pembobolan. Dengan belajar dari insiden ini, perusahaan dapat lebih melindungi aset mereka dan mempertahankan kepercayaan dengan pelanggan mereka.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Bagaimana penyerang dapat meningkat dari akun pengembang hingga mengakses brankas pelanggan pada pembobolan LastPass?#

Penyerang menggunakan kode sumber dan informasi teknis yang dicuri dari lingkungan pengembangan LastPass pada bulan Agustus 2022 untuk mengakses layanan penyimpanan cloud pihak ketiga yang menyimpan cadangan brankas pelanggan. Eskalasi multi-tahap ini terungkap selama beberapa bulan sebelum cakupan penuhnya diungkapkan pada awal tahun 2023.

Mengapa brankas terenkripsi LastPass masih dianggap berisiko setelah pembobolan tersebut?#

Penyerang mendapatkan salinan cadangan brankas yang dienkripsi dan, secara kritis, kunci dekripsi dengan menyebarkan keylogger di komputer rumah pribadi seorang insinyur senior DevOps. Menangkap kata sandi utama di samping kunci dekripsi berarti enkripsi saja tidak dapat sepenuhnya melindungi data pelanggan.

Kegagalan keamanan kerja jarak jauh apa yang membuat pembobolan LastPass menjadi lebih buruk?#

Komputer rumah pribadi seorang insinyur senior DevOps berhasil disusupi melalui kerentanan pada perangkat lunak media pihak ketiga, suatu risiko yang seharusnya dicegah oleh kebijakan perlindungan titik akhir yang kuat untuk perangkat kerja jarak jauh. Membatasi penginstalan perangkat lunak pribadi dan menegakkan audit keamanan dari pengaturan rumah merupakan langkah mitigasi utama.

Jenis data spesifik apa yang terekspos dalam pembobolan LastPass 2022-2023?#

Data yang terekspos mencakup dua kategori: informasi pelanggan termasuk nama, alamat penagihan, alamat email, nomor telepon dan alamat IP, ditambah data teknis yang mencakup cadangan brankas pelanggan, rahasia DevOps, penyimpanan cadangan berbasis cloud, dan cadangan Database Federasi/MFA. Kombinasi dari data pribadi dan infrastruktur ini membuat pembobolan ini sangat merusak.