Otoritas perlindungan data Inggris menjatuhkan denda sebesar £1,2 juta kepada perusahaan pengelola kata sandi LastPass terkait insiden kebocoran data besar yang terjadi pada 2022. Denda tersebut diberikan karena LastPass dinilai gagal menerapkan langkah keamanan yang memadai, sehingga memungkinkan penyerang mencuri data pribadi dan brankas kata sandi terenkripsi milik hingga 1,6 juta pengguna di Inggris.
Berdasarkan hasil penyelidikan Information Commissioner’s Office (ICO), insiden ini berawal dari dua pelanggaran keamanan yang saling berkaitan dan dimulai pada Agustus 2022. Pelanggaran pertama terjadi ketika seorang peretas berhasil mengompromikan laptop milik karyawan LastPass dan memperoleh akses ke sebagian lingkungan pengembangan perusahaan.
Meski pada tahap awal tidak ada data pelanggan yang dicuri, penyerang berhasil mendapatkan kode sumber, informasi teknis internal, serta kredensial perusahaan dalam kondisi terenkripsi. Saat itu, LastPass meyakini insiden tersebut telah terkendali karena kunci dekripsi disimpan terpisah di brankas milik empat eksekutif senior.
Namun, keesokan harinya, penyerang menargetkan salah satu eksekutif tersebut dengan mengeksploitasi kerentanan yang telah diketahui pada aplikasi streaming pihak ketiga yang terpasang di perangkat pribadi korban. Akses ini memungkinkan pelaku menyebarkan malware, merekam kata sandi utama menggunakan keylogger, serta melewati autentikasi multi-faktor melalui cookie yang telah terautentikasi sebelumnya.
Karena korban menggunakan kata sandi utama yang sama untuk brankas pribadi dan bisnis, penyerang dapat mengakses brankas perusahaan dan mencuri kunci akses Amazon Web Services serta kunci dekripsi. Kombinasi informasi ini kemudian digunakan untuk menembus layanan penyimpanan cloud GoTo dan menyalin cadangan basis data LastPass yang tersimpan di sana.
Data pelanggan yang dicuri mencakup brankas kata sandi terenkripsi, nama, alamat email, nomor telepon, serta URL situs web yang terkait dengan akun pengguna. Informasi tersebut berasal dari cadangan data yang berisi metadata akun pelanggan, termasuk alamat penagihan dan alamat IP yang digunakan untuk mengakses layanan LastPass.
Meski demikian, ICO menyatakan bahwa penyerang tidak berhasil mendekripsi isi brankas kata sandi pelanggan. Hal ini dikaitkan dengan arsitektur Zero Knowledge yang diterapkan LastPass, di mana perusahaan tidak mengetahui maupun menyimpan kata sandi utama pengguna. Kendati begitu, LastPass sebelumnya telah memperingatkan bahwa tingkat keamanan brankas terenkripsi sangat bergantung pada kekuatan kata sandi utama yang digunakan pelanggan.
Dalam pemberitahuan dukungan pasca-insiden, LastPass menyarankan pengguna dengan kata sandi utama yang lemah untuk segera melakukan penggantian. Hal ini disebabkan oleh potensi serangan brute-force berbasis GPU yang mampu memecahkan kata sandi dengan kompleksitas rendah secara offline. Sejumlah peneliti bahkan mengklaim bahwa sebagian brankas dengan kata sandi lemah telah berhasil didekripsi dan dimanfaatkan dalam aksi pencurian aset kripto.
Komisioner Informasi Inggris, John Edwards, menegaskan bahwa meskipun pengelola kata sandi tetap menjadi alat penting dalam menjaga keamanan digital, penyedia layanan wajib memastikan sistem internal dan kontrol akses mereka terlindungi dari serangan terarah. Ia menilai pelanggan LastPass memiliki ekspektasi wajar bahwa data pribadi mereka akan diamankan dengan baik, namun kewajiban tersebut tidak terpenuhi dalam kasus ini.
ICO juga mendorong organisasi untuk meninjau kembali keamanan perangkat, risiko kerja jarak jauh, serta pembatasan akses internal. Sementara itu, pengguna disarankan menggunakan kata sandi utama yang kuat dan kompleks. LastPass merekomendasikan panjang minimal 12 karakter dengan kombinasi huruf besar, huruf kecil, angka, dan simbol, meski untuk perlindungan optimal terhadap data sensitif, kata sandi sepanjang 16 karakter atau frasa sandi panjang dinilai lebih aman.
Menanggapi keputusan tersebut, LastPass menyatakan telah bekerja sama dengan ICO sejak insiden pertama kali dilaporkan pada 2022. Perusahaan mengaku kecewa dengan hasil akhir, namun menyambut baik pengakuan atas berbagai langkah penguatan keamanan yang telah diterapkan untuk meningkatkan perlindungan platform dan data pengguna.