- ICO telah mendenda LastPass £1,2 juta ($1,6 juta)
- Lebih dari 1,6 juta pengguna datanya terekspos dalam pelanggaran data
- Data yang terekspos meliputi nama, email, nomor telepon, dan URL
Kantor Komisaris Informasi Inggris telah didenda pengelola kata sandi penyedia LastPass £1,2 juta ($1,6 juta) untuk a Pelanggaran data tahun 2022 yang mempengaruhi 1,6 juta pengguna.
Menurut ICOLastPass “gagal menerapkan langkah-langkah teknis dan keamanan yang cukup kuat,” yang mengakibatkan dua insiden pelanggaran data terpisah.
Sejak pelanggaran data, para peneliti telah menghubungkan a serangkaian perampokan cryptocurrency enam angka untuk pelanggaran LastPass tersebut.
Dunia usaha memperhatikan hal ini
Pelanggaran dimulai dengan penyerang mendapatkan kredensial perusahaan terenkripsi setelah menyusupi laptop perusahaan yang memiliki akses ke lingkungan pengembangan LastPass
Penyerang kemudian memperoleh akses ke database cadangan LastPass dengan menyusupi laptop karyawan senior dengan keylogger, dan mencuri cookie otentikasi perangkat tepercaya.
Dengan akses ke akun pribadi dan bisnis karyawan tersebut, peretas kemudian mencuri sebuah Amazon Kunci akses dan kunci dekripsi Layanan Web (AWS).
Penyerang menggunakan kunci yang diperoleh sebelumnya untuk mengekstrak konten database cadangan yang berisi informasi pribadi.
LastPass dioperasikan menggunakan format enkripsi tanpa pengetahuan, jadi tidak ada kata sandi tersimpan yang pernah dikonfirmasi telah didekripsi. Namun penyerang melakukan eksfiltrasi nama pelanggan, email, nomor telepon, dan URL situs web yang disimpan.
John Edwards, Komisaris Informasi Inggris, mengatakan, “Manajer kata sandi adalah alat yang aman dan efektif bagi bisnis dan masyarakat untuk mengelola berbagai detail login mereka dan kami terus mendorong penggunaannya. Namun, seperti yang jelas dari kejadian ini, bisnis yang menawarkan layanan ini harus memastikan bahwa akses dan penggunaan sistem dibatasi untuk memastikan risiko serangan berkurang secara signifikan.
“Pelanggan LastPass mempunyai hak untuk mengharapkan informasi pribadi yang mereka percayakan kepada perusahaan akan disimpan dengan aman. Namun, perusahaan tidak memenuhi harapan ini, sehingga denda proporsional diumumkan hari ini.
“Saya menyerukan kepada semua pelaku bisnis di Inggris untuk memperhatikan hasil penyelidikan ini dan segera meninjau sistem dan prosedur mereka untuk memastikan, sebaik mungkin, bahwa mereka tidak membiarkan pelanggan dan diri mereka sendiri terkena risiko serupa”.
TechRadar Pro menghubungi LastPass untuk memberikan komentar, tetapi tidak segera menerima tanggapan.
Pengelola kata sandi terbaik untuk semua anggaran
