KALIMANTAN TENGAH — LastPass kembali menjadi sorotan setelah mengonfirmasi kebocoran data pelanggan yang terjadi melalui celah keamanan di Klue, platform riset pasar yang menjadi mitra bisnis mereka. Perusahaan manajemen kata sandi ini telah mengirimkan notifikasi kepada pengguna yang terdampak, seperti dilaporkan TechCrunch dan dikonfirmasi dalam unggahan blog resmi LastPass.
Data Apa yang Bocor?
Menurut penjelasan LastPass, data yang diakses peretas terbatas pada informasi kontak standar bisnis dan data CRM (Customer Relationship Management). Rinciannya mencakup nama, nomor telepon, alamat email, dan alamat fisik pelanggan. Selain itu, data tiket dukungan (support case data) dan informasi terkait penjualan juga ikut terekspos.
Penting dicatat, LastPass menegaskan bahwa brankas kata sandi utama (password vault) pengguna tidak terpengaruh dalam insiden ini. Data terenkripsi di dalam vault disebut tetap aman dan tidak diakses oleh pihak tidak bertanggung jawab.
Modus Serangan dan Tindakan LastPass
Klue, yang platformnya terintegrasi dengan sistem Salesforce dan Gong, menjadi pintu masuk bagi peretas. Begitu mengetahui insiden ini, LastPass langsung mengambil langkah cepat: mencabut akses karyawan ke platform Klue, memutar (rotate) token API yang terekspos, melapor ke aparat penegak hukum, dan meluncurkan investigasi internal bekerja sama dengan Klue serta Salesforce.
Untuk membantu perusahaan lain mendeteksi aktivitas mencurigakan, LastPass merilis daftar alamat IP dan domain pengirim email yang terkait dengan para peretas. Data ini bisa digunakan sebagai indikator kompromi (IoC) dalam sistem keamanan.
Alamat IP: 138.226.246[.]94, 94.154.32[.]160, 159.183.215[.]61, 159.183.181[.]239. Domain pengirim email: baccarat.com[.]au, robinskitchen.com[.]au, house.com[.]au.
Waspada Serangan Phishing Susulan
LastPass mengimbau para pelanggan untuk tetap waspada terhadap potensi serangan phishing atau rekayasa sosial (social engineering) yang memanfaatkan data yang bocor. Dengan informasi kontak yang dimiliki, peretas bisa menyamar sebagai perwakilan LastPass atau perusahaan lain untuk mengelabui korban.
Ini bukan kali pertama LastPass menghadapi masalah keamanan. Pada 2015, peretas berhasil mencuri alamat email, pengingat kata sandi, dan hash autentikasi. Kemudian di 2022, insiden yang lebih parah terjadi ketika seorang peretas menyusup ke akun developer, mencuri kode sumber, dan akhirnya mengakses cadangan cloud yang berisi data pelanggan yang tidak terenkripsi serta brankas kata sandi terenkripsi.
Apa yang Harus Dilakukan Pengguna?
Bagi pengguna LastPass di Indonesia, langkah paling bijak saat ini adalah tidak panik namun tetap waspada. Jangan klik tautan mencurigakan yang mengatasnamakan LastPass, dan jangan pernah memberikan kredensial akun atau kode verifikasi dua faktor (2FA) kepada siapa pun yang menghubungi Anda secara tidak terduga.
Mengaktifkan autentikasi multifaktor (MFA) dan mengganti kata sandi master secara berkala juga merupakan praktik keamanan yang disarankan. Meski vault aman, kewaspadaan tetap menjadi pertahanan terbaik terhadap serangan siber yang memanfaatkan data pribadi yang bocor.
