BALI — LastPass mengonfirmasi bahwa sistem internal mereka tidak ikut dibobol dalam insiden ini. Perusahaan menegaskan bahwa brankas kata sandi (password vault) pengguna tetap aman dan tidak terpengaruh. Pelanggaran justru terjadi di sisi Klue, sebuah perusahaan riset pasar yang menjadi mitra teknologi LastPass.
Dalam pemberitahuan yang diteruskan ke TechCrunch, LastPass menyebut data yang dicakup insiden ini meliputi nama, nomor telepon, alamat email, dan alamat fisik pelanggan. Selain itu, peretas juga mengakses data tiket dukungan pelanggan (customer support case data) serta informasi terkait penjualan.
Meski LastPass belum merinci isi dari tiket dukungan yang dicuri, data semacam ini kerap berisi informasi sensitif. Pelanggan biasanya menghubungi dukungan teknis untuk masalah tagihan atau pemulihan akses akun. Dalam kasus sebelumnya, tiket dukungan pernah berisi kredensial login hingga dokumen identitas pemerintah.
Perusahaan yang menaungi lebih dari 33 juta pengguna dan sekitar 1,6 juta pelanggan berbayar per 2024 ini belum mengungkapkan jumlah pasti pengguna yang terdampak. Hingga berita ini ditulis, juru bicara LastPass juga belum menanggapi permintaan konfirmasi dari TechCrunch.
Ini bukan kali pertama LastPass menghadapi kebocoran data besar. Pada 2022, peretas berhasil mencuri seluruh brankas kata sandi pengguna yang berisi kredensial sensitif, token, hingga nomor kartu kredit. Meski brankas tersebut dienkripsi dengan kata sandi utama (master password) milik masing-masing pengguna, peretas tetap bisa membobol brankas dengan metode brute-force secara offline, terutama untuk kata sandi utama yang lemah.
Beberapa kasus pencurian aset kripto kemudian dikaitkan dengan peretasan LastPass 2022. Peretas diduga mencuri kunci dompet kripto korban setelah berhasil memecahkan brankas kata sandi mereka.
Klue, perusahaan riset pasar yang menjadi celah masuk peretasan, pertama kali mendeteksi adanya penyusup di sistemnya pada 12 Juni lalu. CEO Klue, Jason Smith, mengonfirmasi temuan tersebut dalam sebuah postingan blog. Sebuah kelompok peretasan dan pemerasan bernama Icarus mengaku bertanggung jawab atas serangan ini dan mengancam akan membocorkan data curian jika tebusan tidak dibayarkan.
LastPass bukan satu-satunya perusahaan keamanan siber yang terkena dampak dari peretasan Klue. Beberapa perusahaan lain seperti HackerOne, Recorded Future, dan Tanium juga melaporkan pencurian data akibat insiden yang sama.
Bagi pengguna LastPass, terutama di Indonesia, disarankan untuk tetap waspada. Meski brankas kata sandi utama aman, data pribadi yang bocor bisa digunakan untuk serangan phishing yang lebih terarah. Jangan klik tautan mencurigakan yang mengatasnamakan LastPass dan selalu verifikasi komunikasi resmi dari perusahaan melalui saluran yang sah.