Layanan manajemen kata sandi LastPass diretas pada Agustus 2022, dan penyerang mencuri kata sandi terenkripsi pengguna, menurut pernyataan 23 Desember dari perusahaan. Ini berarti penyerang mungkin dapat memecahkan beberapa kata sandi situs web pengguna LastPass melalui tebakan kasar.
Pemberitahuan Insiden Keamanan Terbaru – Blog LastPass#lastpassack # hack #pass terakhir #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Desember 23, 2022
LastPass pertama kali mengungkapkan pelanggaran tersebut pada Agustus 2022 tetapi pada saat itu, tampaknya penyerang hanya memperoleh kode sumber dan informasi teknis, bukan data pelanggan apa pun. Namun, perusahaan telah menyelidiki dan menemukan bahwa penyerang menggunakan informasi teknis ini untuk menyerang perangkat karyawan lain, yang kemudian digunakan untuk mendapatkan kunci data pelanggan yang disimpan dalam sistem penyimpanan cloud.
Akibatnya, metadata pelanggan tidak terenkripsi mengungkapkan ke penyerang, termasuk "nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP tempat pelanggan mengakses layanan LastPass."
Selain itu, beberapa brankas terenkripsi milik pelanggan dicuri. Kubah ini berisi kata sandi situs web yang disimpan setiap pengguna dengan layanan LastPass. Untungnya, brankas dienkripsi dengan Kata Sandi Utama, yang seharusnya mencegah penyerang untuk dapat membacanya.
Pernyataan dari LastPass menekankan bahwa layanan menggunakan enkripsi canggih untuk mempersulit penyerang membaca file vault tanpa mengetahui Kata Sandi Utama, dengan menyatakan:
“Bidang terenkripsi ini tetap diamankan dengan enkripsi AES 256-bit dan hanya dapat didekripsi dengan kunci enkripsi unik yang berasal dari kata sandi utama setiap pengguna menggunakan arsitektur Zero Knowledge kami. Sebagai pengingat, kata sandi utama tidak pernah diketahui oleh LastPass dan tidak disimpan atau dikelola oleh LastPass.”
Meski begitu, LastPass mengakui bahwa jika pelanggan menggunakan Kata Sandi Utama yang lemah, penyerang mungkin dapat menggunakan kekerasan untuk menebak kata sandi ini, memungkinkan mereka mendekripsi brankas dan mendapatkan semua kata sandi situs web pelanggan, seperti yang dijelaskan LastPass:
“penting untuk dicatat bahwa jika kata sandi utama Anda tidak menggunakan [praktik terbaik yang direkomendasikan perusahaan], maka itu akan secara signifikan mengurangi jumlah upaya yang diperlukan untuk menebaknya dengan benar. Dalam hal ini, sebagai tindakan keamanan ekstra, Anda harus mempertimbangkan untuk meminimalkan risiko dengan mengubah kata sandi situs web yang telah Anda simpan.”
Bisakah peretasan pengelola kata sandi dihilangkan dengan Web3?
Eksploitasi LastPass mengilustrasikan klaim yang telah dibuat oleh pengembang Web3 selama bertahun-tahun: bahwa sistem login nama pengguna dan kata sandi tradisional perlu dihapus demi login dompet blockchain.
Menurut pendukung untuk login dompet kripto, login kata sandi tradisional pada dasarnya tidak aman karena memerlukan hash kata sandi untuk disimpan di server cloud. Jika hash ini dicuri, mereka dapat dipecahkan. Selain itu, jika pengguna mengandalkan kata sandi yang sama untuk beberapa situs web, satu kata sandi yang dicuri dapat menyebabkan pelanggaran kata sandi lainnya. Di sisi lain, sebagian besar pengguna tidak dapat mengingat banyak kata sandi untuk situs web yang berbeda.
Untuk mengatasi masalah ini, layanan manajemen kata sandi seperti LastPass telah ditemukan. Tetapi ini juga mengandalkan layanan cloud untuk menyimpan brankas kata sandi terenkripsi. Jika penyerang berhasil mendapatkan brankas kata sandi dari layanan pengelola kata sandi, mereka mungkin dapat meretas brankas dan mendapatkan semua kata sandi pengguna.
Aplikasi Web3 memecahkan masalah dengan cara yang berbeda. Mereka menggunakan dompet ekstensi browser seperti Metamask atau Trustwallet untuk masuk menggunakan tanda tangan kriptografi, sehingga tidak perlu menyimpan kata sandi di cloud.
Namun sejauh ini, metode ini hanya distandarisasi untuk aplikasi terdesentralisasi. Aplikasi tradisional yang memerlukan server pusat saat ini tidak memiliki standar yang disepakati tentang cara menggunakan dompet crypto untuk login.
Terkait: Facebook didenda 265 juta euro karena membocorkan data pelanggan
Namun, Proposal Peningkatan Ethereum (EIP) baru-baru ini bertujuan untuk memperbaiki situasi ini. Disebut "EIP-4361," proposal mencoba memberikan standar universal untuk login web yang berfungsi untuk aplikasi terpusat dan terdesentralisasi.
Jika standar ini disetujui dan diterapkan oleh industri Web3, para pendukungnya berharap bahwa seluruh world wide web pada akhirnya akan menghapus login kata sandi sama sekali, menghilangkan risiko pelanggaran pengelola kata sandi seperti yang terjadi di LastPass.
Sumber: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations