Penyerang siber telah mengkompromikan sistem internal LastPass, kabur dengan kode sumber dan kekayaan intelektual.
Perusahaan pengelola kata sandi mengatakan telah mendeteksi aktivitas anomali di lingkungan pengembangannya dua minggu lalu. Setelah menggali data forensik, penyelidik menentukan bahwa seseorang (atau seseorang) menyusup ke akun pengembang untuk mendapatkan akses ke jaringan, mengambil "bagian dari kode sumber dan beberapa informasi teknis LastPass milik," menurut sebuah pengumuman diposting minggu ini.
Yang terpenting, musuh tidak dapat mengakses data pelanggan atau brankas kata sandi terenkripsi.
โKami menggunakan arsitektur 'zero-knowledge' standar industri yang memastikan LastPass tidak pernah bisa mengetahui atau mendapatkan akses ke Master Password pelanggan kami [dan itu] memastikan bahwa hanya pelanggan yang memiliki akses untuk mendekripsi data vault,โ menurut LastPass.
Yang mengatakan, Ajay Arora, salah satu pendiri dan presiden di BluBracket, mencatat bahwa penyerang akan mencari kelemahan potensial untuk dieksploitasi dalam kode sumber LastPass, yang berpotensi mengarah pada serangan lanjutan.
โKonsekuensi tambahan yang dapat terjadi dari kode sumber yang dicuri atau bocor adalah bahwa kode ini dapat mengungkapkan rahasia tentang arsitektur aplikasi,โ katanya melalui pernyataan email. โIni dapat mengungkapkan informasi tentang di mana data tertentu disimpan dan sumber daya lain apa yang dapat digunakan organisasi. Faktor-faktor ini kemudian dapat memperlengkapi aktor jahat untuk menimbulkan kerugian tambahan pada organisasi setelah fakta.โ
Tom Kellermann, wakil presiden senior strategi siber di Contrast Security, juga mengatakan dalam sebuah pernyataan bahwa para penyerang bisa saja menyelidiki untuk melihat apakah mereka dapat menemukan jalan ke jaringan mitra atau pemasok LastPass.
โPerusahaan keamanan siber menjadi sasaran untuk memfasilitasi pulau melompat," dia berkata. "Setelah Pelanggaran FireEye, industri seharusnya sudah bangun. Pada tahun 2022, perusahaan keamanan siber harus mempraktikkan apa yang mereka khotbahkan. Banyak yang masih kurang berinvestasi dalam keamanan siber mereka sendiri. Berharap untuk dipukul dan bersiap untuk merespons. โ
