Bertambah lagi kasus keamanan pencurian password pada aplikasi berbasis clould, kali ini dialami oleh aplikasi LastPass. Komputer rumah DevOps Engineer LastPass diretas dan ditanamkan dengan malware keylogging sebagai bagian dari serangan siber berkelanjutan yang mengekstraksi data perusahaan dari sumber daya penyimpanan cloud. Peretas Mencuri Cadangan Terenkripsi, Pengaturan MFA dari GoTo, LastPass. Perusahaan perangkat lunak manajemen kata sandi LastPass mengatakan salah satu insinyur DevOpsnya memiliki komputer rumah pribadi yang diretas dan ditanamkan malware keylogging sebagai bagian dari serangan siber berkelanjutan yang mengekstraksi data perusahaan dari sumber daya penyimpanan cloud.
LastPass Password Manager adalah pengelola kata sandi yang didistribusikan dalam bentuk berlangganan serta model freemium dengan fungsi terbatas. Versi standar dari LastPass hadir dengan antarmuka web, namun juga menyertakan plugin untuk berbagai browser web dan aplikasi untuk banyak smartphone.
LastPass pada hari Senin melakukan “serangan kedua” di mana aktor ancaman yang tidak disebutkan namanya menggabungkan data yang dicuri dari pelanggaran Agustus dengan informasi yang tersedia dari pelanggaran data pihak ketiga, dan kerentanan dalam paket perangkat lunak media pihak ketiga untuk meluncurkan serangan terkoordinasi.
“Investigasi kami mengungkapkan bahwa pelaku ancaman berputar dari insiden pertama, yang berakhir pada 12 Agustus 2022, tetapi secara aktif terlibat dalam serangkaian aktivitas pengintaian, pencacahan, dan eksfiltrasi baru yang diselaraskan dengan lingkungan penyimpanan cloud mulai dari 12 Agustus. 2022 hingga 26 Oktober 2022, ”perusahaan menjelaskan dalam catatan yang diposting online.
“Insiden kedua melihat pelaku ancaman dengan cepat menggunakan informasi yang diekstraksi selama insiden pertama, sebelum pengaturan ulang diselesaikan oleh tim kami, untuk menghitung dan akhirnya mengekstraksi data dari sumber daya penyimpanan cloud,” tambah LastPass.
LastPass bekerja dengan pakar respons insiden di Mandiant untuk melakukan forensik dan menemukan bahwa komputer rumah insinyur DevOps menjadi sasaran untuk menghindari mitigasi keamanan. Penyerang mengeksploitasi kerentanan eksekusi kode jarak jauh dalam paket perangkat lunak media pihak ketiga dan menanam malware keylogger di komputer pribadi karyawan. “Aktor ancaman dapat menangkap kata sandi utama karyawan saat dimasukkan, setelah karyawan diautentikasi dengan MFA, dan mendapatkan akses ke brankas perusahaan LastPass insinyur DevOps,” kata perusahaan itu.
“Aktor ancaman kemudian mengekspor entri kubah perusahaan asli dan konten folder bersama, yang berisi catatan aman terenkripsi dengan kunci akses dan dekripsi yang diperlukan untuk mengakses cadangan produksi AWS S3 LastPass, sumber daya penyimpanan berbasis cloud lainnya, dan beberapa cadangan database penting terkait ,” LastPass menegaskan.
LastPass, yang dimiliki oleh GoTo (sebelumnya LogMeIn), awalnya mengungkap pelanggaran tersebut pada Agustus 2022 dan memperingatkan bahwa sebagian dari kode sumbernya telah dicuri. Pada Januari 2023, perusahaan induk GoTo mengatakan pihaknya juga mengalami pelanggaran yang mencakup pencurian nama pengguna akun, kata sandi asin dan hash, sebagian pengaturan Multi-Factor Authentication (MFA), serta beberapa pengaturan produk dan informasi lisensi. LastPass mengklaim lebih dari 30 juta pengguna dan 85.000 pelanggan bisnis di seluruh dunia.
