LastPass Konfirmasi Jadi Korban Kebocoran Data Imbas Serangan Rantai Pasok Klue

Platform manajemen kata sandi terkemuka, LastPass, secara resmi mengumumkan bahwa lingkungan Salesforce milik perusahaan telah disusupi oleh peretas. Insiden ini terjadi setelah aktor ancaman siber berhasil mencuri token OAuth milik LastPass melalui serangan rantai pasok (supply chain attack) yang melanda platform market intelligence pihak ketiga, Klue, awal bulan ini.

Meskipun lingkungan CRM (Customer Relationship Management) perusahaan berhasil ditembus, LastPass menegaskan bahwa seluruh lini produk, layanan utama, serta infrastruktur cloud mereka sama sekali tidak terdampak oleh insiden ini. Yang paling krusial, pihak perusahaan menjamin bahwa brankas kata sandi (customer vaults) milik seluruh pengguna tetap aman dan terenkripsi secara kokoh.

Kronologi Pembobolan Melalui Akses Token OAuth

Berdasarkan keterangan resmi LastPass, kronologi insiden ini bermula dari temuan aktivitas ilegal di platform eksternal mitra mereka:

• 12 Juni: LastPass menerima pemberitahuan mengenai adanya insiden keamanan siber pada infrastruktur integrasi di platform Klue (klue.com). Platform ini digunakan oleh tim go-to-market LastPass dan terintegrasi langsung dengan sistem Salesforce serta Gong milik perusahaan.
• Modus Operandi: Penyerang berhasil masuk ke infrastruktur Klue menggunakan kredensial warisan (legacy credentials) yang kompromi pada sebuah layanan integrasi. Dari sana, peretas memanen token OAuth yang disimpan Klue untuk para pelanggannya, termasuk LastPass.
• Eksfiltrasi Data: Memanfaatkan token OAuth curian tersebut, aktor ancaman siber melakukan bypass otentikasi untuk masuk ke dalam lingkungan Salesforce internal LastPass dan menyedot data pelanggan yang ada di dalamnya.

Pihak LastPass menambahkan bahwa investigasi forensik sejauh ini tidak menemukan bukti adanya kebocoran data pada sistem Gong mereka, yang biasanya menampung rekaman panggilan telepon dan riwayat email dengan pelanggan.

Jenis Data Pelanggan yang Bocor

Aktor siber diduga telah mengeksfiltrasi kompilasi data komersial dari sistem Salesforce LastPass. Jenis informasi yang kemungkinan besar telah terekspos meliputi:

• Nama lengkap pelanggan
• Nomor telepon
• Alamat email aktif
• Alamat fisik/tempat tinggal
• Informasi terkait riwayat tiket bantuan (support case information)
• Data penjualan dan catatan penjualan berbasis CRM

Peringatan Keamanan untuk Pengguna: Data yang bocor ini sangat bernilai bagi peretas untuk menyusun skenario serangan susulan berupa phishing dan social engineering yang sangat terarah (spear-phishing).

LastPass mengimbau seluruh penggunanya untuk sangat waspada terhadap segala bentuk komunikasi tidak dikenal—baik melalui telepon maupun email—yang meminta informasi sensitif. Perusahaan kembali mengingatkan bahwa Kata Sandi Utama (Master Password) Anda bersifat rahasia dan tidak boleh dibagikan kepada siapa pun, termasuk pihak yang mengaku sebagai staf dukungan resmi LastPass.

Kelompok Pemeras Icarus di Balik Serangan

Seperti yang dilaporkan sebelumnya, serangan rantai pasok global pada platform bertenaga AI milik Klue ini secara terbuka telah diklaim oleh kelompok pemeras baru bernama Icarus. LastPass kini menambah daftar panjang perusahaan teknologi dan siber global yang menjadi korban dari rembetan kasus Klue ini, menyusul korban lainnya seperti Recorded Future, Tanium, Jamf, Sprout Social, Gong, dan Insurity.

Sebagai langkah mitigasi darurat, LastPass telah menonaktifkan seluruh akses karyawan ke platform Klue, melakukan rotasi dan pembaruan pada seluruh API serta token OAuth yang terekspos, serta secara resmi melaporkan kasus ini kepada aparat penegak hukum guna investigasi lebih lanjut.

Secara spesifik, LastPass juga merilis indikator ancaman (threat indicators) berupa domain email palsu yang saat ini aktif digunakan oleh kelompok peretas untuk mengirimkan pesan penipuan berkedok urusan bisnis, yaitu:

• baccarat.com[.]au
• robinskitchen.com[.]au
• house[.]com.au

Pengguna diminta mengabaikan pesan dari domain tersebut dan hanya mempercayai komunikasi yang datang dari kanal dukungan resmi LastPass.