LastPass adalah pengelola kata sandi populer yang telah mengalami lebih dari sekadar pelanggaran data. Informasi kini terungkap terkait pelanggaran data LastPass terbaru yang dilaporkan di sini oleh John Durso pada bulan Desember: Peretas LastPass Mendapat Data Vault
Rupanya, PC karyawan yang bekerja dari rumah disusupi melalui kerentanan di pemutar media pihak ketiga, yang dieksploitasi untuk menyebarkan keylogger. Setelah keylogger dikerahkan, hanya masalah waktu sampai karyawan masuk menggunakan kredensial resmi mereka dan, bingo… peretas memiliki semua yang dia butuhkan untuk mengakses brankas perusahaan karyawan. Berikut adalah kutipan dari laporan LastPass:
Aktor ancaman menargetkan PC jarak jauh insinyur DevOps senior dengan mengeksploitasi perangkat lunak pihak ketiga yang rentan. Pelaku ancaman memanfaatkan kerentanan untuk mengirimkan malware, melewati kontrol yang ada, dan akhirnya mendapatkan akses tidak sah ke cadangan cloud. Data yang diakses dari cadangan tersebut termasuk data konfigurasi sistem, rahasia API, rahasia integrasi pihak ketiga, dan data pelanggan LastPass terenkripsi dan tidak terenkripsi ~ <sumber>
Seperti yang telah saya ulangi berkali-kali, agar berhasil dikirimkan, sebagian besar malware memerlukan semacam tindakan tidak sengaja dari pihak pengguna, dan di lingkungan perusahaan yang melibatkan banyak komputer jaringan yang dioperasikan oleh banyak pengguna, risiko itu meningkat tanpa akhir. Meskipun lemari besi LastPass tidak dilanggar secara langsung, sangat luar biasa untuk berpikir bahwa karyawan jarak jauh tidak berpendidikan lebih baik untuk menghindari jenis pelanggaran pihak ketiga ini. Faktanya, tidak dapat dibayangkan bahwa apa yang pada dasarnya merupakan PC kerja, termasuk materi yang sangat sensitif, tidak dikelola sepenuhnya terpisah dari kebutuhan pribadi karyawan.
LastPass telah menyatakan bahwa sekarang sedang dalam proses memperkuat DevOps keamanan jaringan rumah insinyur. Meskipun hal itu tentu saja merupakan langkah ke arah yang benar, jenis karyawan yang bekerja dari rumah dengan informasi sensitif seperti ini harus diperintahkan untuk memelihara dua PC yang benar-benar terpisah – satu untuk keperluan kerja SAJA, dan satu lagi untuk penggunaan pribadi.
Yang Perlu Dilakukan Pengguna LastPass
Jika Anda adalah pengguna LastPass dan telah mengambil tindakan perbaikan sesuai buletin LastPass, semuanya baik-baik saja. Namun, jika Anda baru mengetahuinya sekarang, Anda harus mengikuti saran John Durso dari artikel sebelumnya:
Ubah kata sandi master LastPassAktifkan autentikasi multi-faktor LastPass jika tidak diaktifkanUbah semua kata sandi situs web penting (email, lembaga keuangan, kartu kredit, dll.)
Tetap aman di luar sana.
—