Peretasan LastPass Kembali Mengakibatkan Pencurian Sekitar $4,4 Juta, Pengguna Diperingatkan Akan Risikonya

Menurut pemantauan chain sleuth ZachXBT, peretasan LastPass menyebabkan pencurian sekitar $ 4,4 juta dari lebih dari 25 korban pada hari Rabu, 25 Oktober saja. Pengguna yang merasa pernah menyimpan helper atau kunci di LastPass dihimbau untuk segera mentransfer aset kripto mereka. Sebelumnya pada berita Desember 2022, LastPass, platform manajemen kata sandi, mengatakan bahwa peretas tak dikenal mengakses lingkungan penyimpanan berbasis cloud menggunakan informasi yang diperoleh dari insiden sebelumnya yang mereka ungkapkan pada Agustus 2022, dan bahwa beberapa kode sumber dan informasi teknis dicuri dan digunakan untuk menyerang karyawan lain untuk mendapatkan kredensial penyimpanan yang digunakan untuk mengakses dan mendekripsi kredensial penyimpanan tertentu dan Kunci. LastPass telah menetapkan bahwa setelah peretas mendapatkan kunci akses penyimpanan cloud dan kunci dekripsi wadah penyimpanan ganda, mereka dapat menyalin informasi dari cadangan yang berisi informasi akun pelanggan dan metadata terkait, seperti nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP yang digunakan pelanggan untuk mengakses layanan LastPass. Selain itu, peretas dapat menyalin cadangan data brankas pelanggan dari wadah penyimpanan terenkripsi. Peretas dapat mencoba menggunakan brute force untuk menebak kata sandi utama pengguna dan mendekripsi salinan data brankas yang mereka peroleh, dan juga dapat melakukan serangan phishing terhadap akun online yang terkait dengan brankas LastPass.