Pelanggaran Keamanan LastPass: Cara Melindungi Diri Sendiri
Diterbitkan: 2023-01-05Yang Perlu Anda Ketahui dan Lakukan Tentang Pelanggaran LastPass
Jika Anda adalah pengguna LastPass, seperti banyak dari kami di komunitas WordPress, Anda mungkin sedang mencari solusi pengelolaan kata sandi alternatif saat ini. Setelah pelanggaran keamanan besar-besaran di LastPass, perusahaan tidak mengungkapkan secara tepat waktu — yang berpotensi membahayakan data Anda — Anda harus beralih ke Bitwarden atau 1Password. Lebih baik lagi, mulailah menggunakan kunci sandi jika memungkinkan — mereka menjadikan login tanpa kata sandi sebagai solusi keamanan terbaik. Terakhir, jika Anda bertanggung jawab atas keamanan data orang lain atau jika Anda memiliki peran komunikasi, Anda dapat belajar dari kesalahan LastPass — terutama apa yang tidak boleh dilakukan. Mari kita lihat apa yang terjadi, apa yang seharusnya terjadi, dan bagaimana Anda harus mengamankan akun online Anda secara proaktif.
Menggali Lubang Lebih Dalam Tidak Akan Membuat Anda Keluar
Pada Agustus 2022, CEO LastPass Karim Toubba memposting yang pertama dari serangkaian pengungkapan publik yang semakin serius tentang pelanggaran keamanan yang mendalam dan berkelanjutan. Pengungkapan awal mengatakan "pihak yang tidak berwenang" mengakses sebagian lingkungan pengembangan insinyur LastPass dengan mengeksploitasi "satu akun pengembang yang dikompromikan." Penyusup mencuri beberapa kode sumber dan "informasi teknis hak milik LastPass." Namun, Toubba mengatakan tidak ada dampak pada platform manajemen kata sandi LastPass itu sendiri atau pelanggannya. Dengan tegas, dia meyakinkan pelanggan LastPass bahwa kata sandi utama, data, dan informasi pribadi mereka aman. Informasi akun penting kami benar-benar aman, tidak tersentuh oleh penyusup.
Sayangnya, ini tidak benar sama sekali.
Apa yang Sebenarnya Terjadi di LastPass
Mulai akhir November, Toubba membuat beberapa pembaruan lagi untuk pengungkapan LastPass yang Zack Whittaker di TechCrunch membantu menguraikan untuk menunjukkan apa yang tidak dijelaskan oleh LastPass. LastPass akhirnya memperjelas penyerang mencuri beberapa data pelanggan dalam pelanggaran kedua yang diaktifkan oleh "informasi yang diperoleh" dalam pelanggaran sebelumnya. Pertama, penyerang telah menargetkan satu pengembang LastPass dan yang lainnya untuk membobol lebih dalam sistem LastPass, termasuk penyimpanan cloud dari perusahaan induk LastPass, GoTo. (GoTo juga memiliki LogMeIn dan GoToMyPC.)
Dalam langkah yang mengganggu, GoTo menyembunyikan pengungkapannya sendiri dari mesin pencari.
Kemudian, tepat sebelum Natal, Toubba kembali memperbarui pengungkapan pelanggaran LastPass. Dia mengkonfirmasi penyerang mencuri snapshot cadangan dari brankas kata sandi pelanggan LastPass terenkripsi. Toubba juga mengakui siapa pun yang memiliki snapshot tersebut dapat menggunakan metode brute force untuk memecahkan brankas kata sandi pelanggan terenkripsi. Termasuk dalam pelanggaran tersebut adalah nama pelanggan LastPass, nama perusahaan dan alamat email mereka, nomor telepon dan alamat IP, URL, catatan, data formulir, dan beberapa informasi penagihan.
Ini sangat buruk.
Dampak Buruknya Komunikasi Krisis Dari LastPass
LastPass belum mengungkapkan fakta kunci seperti berapa banyak akun pengguna yang ada dalam data yang dicuri. Akibatnya, kita harus mengasumsikan semua 25+ Juta pengguna LastPass (per November 2022) berisiko karena pelanggaran keamanan ini. Selain itu, bahkan mantan pelanggan mungkin berisiko sekarang jika file cadangan yang dicuri berisi data brankas pribadi dan kata sandi lama mereka.
Saya telah menggunakan LastPass selama bertahun-tahun untuk mengakses kata sandi orang lain yang mereka bagikan dengan saya untuk tujuan kerja. Meskipun saya sendiri belum membayar untuk menggunakan layanan ini, saya harus memiliki akun dengan LastPass karena alasan ini. Saya menerima pemberitahuan pelanggaran keamanan dari LastPass melalui email seperti pelanggan lain, dan saya langsung khawatir. Saya perhatikan topik tersebut muncul untuk didiskusikan di Post Status Slack, forum komunitas populer untuk para profesional WordPress. Robert Rowley, Pengacara Pengembang untuk Patchstack, berbagi berita di sana. Dia mencatat, “Tidak ada kata sandi utama atau kata sandi tersimpan yang bocor. Tidak ada tindakan yang diperlukan.” Seperti jutaan pengguna Patchstack lainnya, kami semua mempercayai apa yang dikatakan perusahaan kepada kami, dan kami salah.
Belakangan, orang lain di Patchstack dan di komunitas WordPress berbagi berita tentang GoTo yang menekan pengungkapan pelanggaran mereka sendiri. Pada bulan Desember, Rowley berkomentar lagi, mengamati seberapa jauh perkembangannya dari pernyataan awal yang kita semua yakini. "Tidak ada brankas pelanggan yang diakses." Membandingkan serangkaian pengungkapan yang kontradiktif dengan pukulan, Rowley mengamati, "Ini dapat dilihat sebagai kombo kiri-kanan dari hilangnya kepercayaan, setiap pembaruan membuat insiden menjadi lebih buruk."
Apa yang Seharusnya Terjadi di LastPass
Dalam komunitas sumber terbuka, kami menghargai transparansi sebagai suatu kesalahan. Khususnya dalam hal keamanan, kami mencoba mempertahankan dan melindungi budaya pengungkapan yang bertanggung jawab. Jika kami menemukan kerentanan dalam produk perangkat lunak sumber terbuka, kami diam-diam memberi tahu pemilik dan pengelolanya. Kami berharap mereka segera memberi tahu pengguna mereka dan membuat pengungkapan penuh segera setelah mereka menambal kode apa pun yang dapat dieksploitasi. Kami berharap itu terjadi dengan sangat cepat, sebagai prioritas utama. Dengan cara ini, anggota komunitas open source mencoba untuk saling membantu memecahkan masalah yang berdampak pada semua orang alih-alih menutupinya, yang sering terjadi pada perangkat lunak berpemilik.
Etika serupa berlaku ketika individu jahat mencuri informasi identifikasi pribadi (PII) bernilai tinggi. Meskipun undang-undang pemberitahuan pelanggaran keamanan berbeda-beda di negara bagian dan negara yang berbeda, semuanya memerlukan pengungkapan tepat waktu kepada orang yang terkena dampak. Ini bukan kesopanan yang sederhana - ini adalah kewajiban hukum dan etika.
Dalam Keamanan, Kepercayaan adalah Segalanya
Semua pelanggaran keamanan dapat merusak kepercayaan. Itu semua adalah situasi buruk yang hanya bisa menjadi lebih buruk jika diperdalam dengan penundaan. Mengungkapkan informasi yang salah dan tidak lengkap dapat menjadi bencana bagi perusahaan dan merek seperti yang telah kita lihat dengan LastPass.
Mengapa ada orang yang harus memercayai perusahaan yang menunjukkan perilaku yang tidak bertanggung jawab, mementingkan diri sendiri, dan mau tidak mau merusak diri sendiri ketika perusahaan itu telah mengecewakan pelanggannya? Komunikasi yang jujur, langsung, dan jelas yang berfokus pada pengurangan kerugian bagi pelanggan adalah satu-satunya cara yang mungkin untuk memperbaiki keadaan.
Pada akhirnya kepercayaan bukanlah teknologi atau konsep teknis. Ini tentang hubungan manusia. Kepercayaan tergantung pada bagaimana Anda memperlakukan orang, terutama mereka yang telah menaruh kepercayaan pada Anda. Kami tidak selalu memenuhi janji kami dan kegagalan selalu mungkin terjadi. Satu-satunya jalan ke depan yang dapat memperbaharui kepercayaan ketika yang terburuk terjadi adalah mengakui apa yang terjadi dan mengungkapkan semuanya dengan jujur.
Bagaimana Seharusnya Pengguna LastPass Menanggapi Pelanggaran Keamanan?
Mengingat cara LastPass mengungkapkan pelanggaran ini, langkah-langkah keamanan tambahan pada LastPass untuk melindungi brankas kata sandi Anda tidak akan membantu. Saatnya untuk mulai pertama, bermigrasi ke pengelola kata sandi baru seperti 1Password, Bitwarden, atau NordPass, dan kedua dan yang paling penting mulai mengubah kata sandi di situs dan aplikasi penting yang kredensialnya Anda simpan di lemari besi LastPass Anda. Menambahkan autentikasi dua faktor ke situs tersebut akan menjadi langkah yang sangat bijak jika Anda belum melakukannya.
Jika lemari besi Anda tidak dilindungi oleh kata sandi utama yang kuat, semua akun daring Anda pada akhirnya akan disusupi. Bahkan jika Anda memiliki kata sandi utama yang kuat, kata sandi itu masih bisa dipecahkan dengan kekerasan.
Ini bukan pertanyaan apakah data Anda akan didekripsi, ini masalah kapan . Mengingat bahwa pelanggaran ini terjadi lima bulan sebelum pengungkapan LastPass bahwa kubah pelanggan terkena dampak, penyerang jahat sudah memiliki permulaan. Karena itu, sangat penting untuk mulai mengamankan kredensial untuk setiap akun yang Anda simpan di LastPass.
Itu sebabnya hal berikutnya dan terpenting yang harus dilakukan adalah mulai mengubah semua kata sandi untuk semua akun yang telah Anda simpan di LastPass. Prioritaskan yang paling penting terlebih dahulu — seperti akun keuangan, akun admin situs, dan lainnya yang kerugiannya bisa sangat merugikan Anda.
Saatnya Meninggalkan LastPass
Terakhir, kami menyarankan untuk menutup akun LastPass Anda dan pindah ke layanan lain seperti Bitwarden atau 1Password. Bitwarden memiliki alat migrasi untuk mengimpor catatan akun LastPass Anda. Begitu juga dengan 1Password.
Saatnya untuk beralih dari LastPass. Jika Anda memiliki dana untuk dibelanjakan pada 1Password, ini adalah alternatif yang lebih kuat dari banyak pengelola kata sandi lain yang tersedia. Penyiapan keamanan mereka juga bergantung pada kunci rahasia untuk mengamankan brankas. 1Password telah menjadi pilihan banyak profesional keamanan, dan memiliki sistem hebat untuk berbagi akses vault untuk tim yang membutuhkan akses ke banyak akun.
Alternatif lain adalah Bitwarden. Alat sumber terbuka, kode sumber Bitwarden tersedia untuk ditinjau di Github yang sering diaudit oleh peneliti keamanan. Akun berbayar hanya $10 per tahun, yang membuat mendukung proyek menjadi mudah bagi orang-orang dengan anggaran terbatas. Anda juga dapat menghosting lemari besi Bitwarden Anda sendiri jika Anda ingin melakukannya.
Peluang untuk Memikirkan Kembali Praktik Keamanan Anda Sendiri
Bahkan jika Anda bukan pelanggan, pelanggaran LastPass adalah peluang bagus untuk memikirkan kebijakan keamanan Anda sendiri. Fitur utama pengelola kata sandi seperti LastPass adalah kemampuan untuk berbagi akses ke akun online dengan orang lain. Keterbatasan banyak layanan online dan kebutuhan tempat kerja mendorong kami untuk berbagi akses akun sebagai kenyamanan. Namun, berbagi akun biasanya merupakan praktik keamanan yang sangat buruk. Jangan berikan lebih dari satu orang akses ke akun media sosial pengguna tunggal seperti Twitter! Gunakan aplikasi manajer media sosial multi-pengguna sebagai gantinya. Kemudian Anda dapat mengizinkan sejumlah orang untuk mengirim tweet tanpa risiko kehilangan akun utama Anda. Dan ketika orang-orang itu keluar atau berganti peran, mengelola hak akses mereka akan jauh lebih sederhana.
Siapa pun yang Anda berikan akses ke kata sandi yang dibagikan di aplikasi seperti LastPass dapat menyimpan kata sandi tersebut — selamanya. Mereka mungkin menuliskannya. Mereka dapat menyimpannya di pengelola kata sandi browser mereka untuk kenyamanan. Orang-orang datang dan pergi di setiap tim dan organisasi. Praktik keamanan yang tepat mengharuskan Anda menghapus akun yang tidak digunakan dan mengubah kata sandi tanpa penundaan. Apakah Anda mempraktikkan ini? Seberapa baik Anda melakukannya? Sudahkah Anda membuatnya semudah dan sejelas mungkin? Sudahkah Anda mendelegasikan tanggung jawab penting ini kepada orang tertentu? Siapa yang memeriksa dan mengaudit hak akses tim Anda? Seberapa sering mereka melakukannya?
Pikirkan tentang skenario terburuk Anda sendiri. Bagaimana Anda menangani komunikasi tentang pelanggaran yang mengungkap data pelanggan Anda? Bagaimana Anda dapat bekerja kembali ke strategi pencegahan proaktif sehingga hal ini tidak pernah terjadi?
Tidak ada bisnis yang terlalu kecil untuk mengabaikan tanggung jawab penting ini. Apa yang dapat Anda lakukan hari ini untuk menurunkan risiko bencana pelanggaran esok hari?
Kunci Pas untuk Menang! Masa Depan Keamanan Digital
Acara ini menggarisbawahi masalah dengan kata sandi. Pengelola kata sandi berusaha mendukung kata sandi yang lebih kompleks, dan autentikasi dua faktor telah berupaya menyediakan lapisan keamanan lain. Namun, menurut laporan keamanan data Verizon, kurang dari 30% pengguna benar-benar menggunakan 2FA. Kata sandi benar-benar rusak. Kunci sandi adalah solusi untuk bergerak maju.
Kunci sandi adalah jenis metode autentikasi yang melibatkan penggunaan perangkat fisik, seperti key fob atau smart card, untuk memverifikasi identitas pengguna. Komputer atau ponsel dengan metode masuk biometrik yang semakin umum juga dapat digunakan untuk mengautentikasi identitas Anda di situs web. Kunci pas dianggap lebih aman daripada metode autentikasi lainnya, seperti kata sandi, karena memberikan lapisan keamanan tambahan.
Jika komputer Anda dikenal sebagai perangkat tepercaya dengan kunci sandi untuk rekening bank Anda (atau situs WordPress jika Anda menggunakan iThemes Security Pro), Anda dapat melewati login situs tradisional. Cukup bagi situs web untuk mengenali perangkat Anda dan mungkin meminta sidik jari melalui Touch ID di perangkat Apple atau Windows Hello untuk Microsoft.
Ketenangan Pikiran Sejati adalah Tanpa Kata Sandi
Salah satu keuntungan dari kunci sandi adalah tidak mudah ditebak atau dipecahkan seperti halnya kata sandi. Kata sandi bisa rentan terhadap serangan kamus, di mana peretas menguji daftar kata sandi umum untuk mencoba mendapatkan akses ke akun. Kunci pas, di sisi lain, biasanya unik dan tidak dapat dengan mudah ditiru, membuatnya jauh lebih sulit untuk dikompromikan.
Selain itu, kunci sandi dapat digunakan bersamaan dengan metode autentikasi lainnya, seperti kata sandi perangkat atau autentikasi biometrik, untuk memberikan tingkat keamanan yang lebih tinggi. Ini dikenal sebagai autentikasi multi-faktor, dan ini dapat sangat mempersulit peretas untuk mendapatkan akses ke akun.
Kunci sandi akan segera membuat pengelola kata sandi seperti LastPass tidak diperlukan. Itu akan membuat web lebih aman, karena pelanggaran keamanan platform besar seperti yang dialami LastPass mungkin menjadi masa lalu. Jika Anda menjalankan situs WordPress atau WooCommerce, Anda dapat memberi diri Anda dan pengguna Anda keamanan tinggi dan kenyamanan login tanpa kata sandi yang tak tertandingi dengan fitur kunci sandi iThemes Pro.
Keadaan Pengelola Kata Sandi pada tahun 2023
Kursus Pelatihan Online Interaktif Langsung
10 Januari 2023 @ 13:00 (Pusat)
Dalam webinar ini, kita akan membahas pelanggaran LastPass baru-baru ini dan apa yang dapat kita pelajari tentang hal ini saat melindungi kehidupan digital kita (termasuk situs WordPress kita), dan kita juga akan mengevaluasi status kata sandi, pengelola kata sandi, autentikasi dua faktor, dan lebih sehingga kita bisa pindah ke tahun 2023 dengan aman.
Kami juga akan berbicara tentang solusi untuk melupakan kata sandi dengan kunci sandi dan status implementasi WebAuthn baik oleh raksasa teknologi maupun Keamanan iThemes.
Dan Knauss adalah Generalis Konten Teknis StellarWP. Dia adalah seorang penulis, guru, dan pekerja lepas yang bekerja di sumber terbuka sejak akhir 1990-an dan dengan WordPress sejak 2004.