LastPass, salah satu penyedia layanan pengelola kata sandi (password manager) terbesar di dunia, menerima pukulan telak dari regulator Inggris. Kantor Komisaris Informasi Inggris (ICO) resmi menjatuhkan denda sebesar £1,2 juta (sekitar Rp 24 miliar) kepada LastPass UK Ltd.

Sanksi ini diberikan menyusul investigasi mendalam terhadap pelanggaran data besar-besaran pada tahun 2022 yang mengkompromikan informasi pribadi milik 1,6 juta pengguna di Inggris. ICO menilai LastPass gagal menerapkan langkah-langkah keamanan teknis yang memadai, sebuah ironi bagi perusahaan yang menjanjikan keamanan digital bagi penggunanya.

Komisaris Informasi Inggris, John Edwards, menegaskan bahwa meskipun pengelola kata sandi adalah alat vital, perusahaan penyedia layanan ini memikul tanggung jawab lebih besar.

"Pelanggan LastPass memiliki hak untuk berharap informasi pribadi yang mereka percayakan akan dijaga keamanannya. Namun, perusahaan gagal memenuhi harapan ini," ujar Edwards.

Investigasi mengungkap bahwa peretasan ini bukanlah serangan tunggal, melainkan hasil dari dua insiden terpisah yang dieksekusi secara berurutan dengan sangat cerdik oleh peretas.

Baca Juga: Peringatan Darurat Apple: Dua Celah Zero-Day WebKit Dieksploitasi Aktif, Segera Update Perangkat Anda

Insiden Pertama: Pembobolan Lingkungan Pengembangan

Hacker awalnya berhasil mengkompromikan laptop perusahaan milik seorang karyawan LastPass. Dari sini, penyerang mendapatkan akses ke lingkungan pengembangan (development environment) perusahaan.

• Dampak: Meskipun tidak ada data pribadi pengguna yang dicuri pada tahap ini, peretas berhasil mencuri kredensial perusahaan yang terenkripsi.
• Respons LastPass: Perusahaan mendeteksi aktivitas ini dan melakukan mitigasi. Mereka meyakini bahwa kunci enkripsi (decryption keys) aman karena disimpan di tempat terpisah, yakni di dalam brankas akun (vault) milik empat karyawan senior.

Insiden Kedua: Titik Lemah di Rumah Karyawan

Inilah tahap di mana pertahanan LastPass runtuh. Peretas menargetkan salah satu dari empat karyawan senior (insinyur DevOps) yang memegang kunci enkripsi tersebut.

• Vektor Serangan: Peretas mengeksploitasi kerentanan pada perangkat lunak streaming media pihak ketiga yang terinstal di laptop pribadi karyawan tersebut di rumahnya.
• Eskalasi Akses: Setelah masuk ke laptop pribadi, peretas menanamkan Keylogger (perekam ketikan keyboard).
• Kesalahan Fatal: Karyawan tersebut ternyata menautkan brankas LastPass pribadi dan bisnisnya menggunakan satu Master Password. Karena keylogger aktif, peretas berhasil menangkap Master Password saat karyawan login, bahkan mem-bypass otentikasi dua faktor (MFA) dengan mencuri "cookie perangkat terpercaya".

Dengan akses penuh ini, peretas membuka brankas bisnis karyawan, mengambil kunci akses Amazon Web Services (AWS) dan kunci dekripsi, lalu mengunduh basis data cadangan (backup database) LastPass yang berisi data pelanggan.

Berita baik di tengah bencana ini adalah arsitektur "Zero Knowledge" LastPass berfungsi sebagaimana mestinya.

• Aman: Kata sandi pengguna (isi brankas pelanggan) TIDAK berhasil didekripsi. Karena LastPass menggunakan enkripsi di mana hanya pengguna yang tahu Master Password-nya (disimpan lokal di perangkat pengguna), peretas hanya mendapatkan sampah data terenkripsi yang tidak bisa dibaca.
• Terekspos: Namun, peretas berhasil mencuri data yang tidak terenkripsi atau terenkripsi lemah, seperti: Nama pelanggan, alamat email, nomor telepon, dan URL situs web yang disimpan dalam brankas. Data ini sangat berharga untuk serangan phishing lanjutan.

Kasus LastPass adalah studi kasus sempurna tentang bahaya Bring Your Own Device (BYOD) dan pencampuran penggunaan perangkat pribadi untuk akses korporat tingkat tinggi.

Rekomendasi ICO dan Pakar Keamanan:

1. Pemisahan Tegas: Akses ke infrastruktur kritis (seperti kunci AWS produksi) tidak boleh dilakukan dari perangkat pribadi yang tidak dikelola oleh tim IT perusahaan.
2. Isolasi Akun: Menautkan akun pribadi dan bisnis (linking accounts) pada layanan sensitif menciptakan jembatan bagi peretas untuk melompat (lateral movement) dari lingkungan yang kurang aman ke lingkungan yang sangat aman.
3. Keamanan Kerja Jarak Jauh: Perusahaan harus memastikan bahwa kebijakan keamanan mencakup risiko karyawan yang bekerja dari rumah (Work From Home), termasuk kerentanan pada jaringan rumah dan perangkat lunak pihak ketiga yang mereka instal.