Jika Anda telah mengikuti skandal pelanggaran data LastPass selama beberapa bulan terakhir, Anda dapat dimaafkan jika berpikir itu tidak akan menjadi lebih buruk. Setiap beberapa minggu, perusahaan mengeluarkan berita suram tentang sejauh mana peretasan tersebut. Sekarang, perusahaan induknya, GoTo, telah mengungkapkan bahwa mereka juga menjadi korban.
Dalam sebuah posting blog, CEO GoTo Paddy Srinivasan mengeluarkan pembaruan yang memberi tahu pelanggan bahwa produk selain LastPass disusupi dalam pelanggaran tersebut. Layanan GoTo yang berbagi server dengan LastPass, seperti Central, Pro, join.me, Hamachi, dan RemotelyAnywhere memiliki informasi sensitif yang dicuri selama peretasan LastPass, termasuk nama pengguna, kata sandi salted dan hash, pengaturan autentikasi multi-faktor, serta produk dan informasi perizinan. Selain itu, layanan Rescue dan GoToMyPC memiliki sebagian kecil dari pengaturan autentikasi multi-faktor mereka yang terpengaruh oleh pelanggaran tersebut.
Srinivasan menyatakan bahwa pelanggan yang terkena dampak sedang dihubungi secara langsung dan bahwa meskipun informasi kata sandi telah diberi garam dan hash, GoTo mengatur ulang kata sandi mereka karena sangat hati-hati. Selain itu, perusahaan memigrasikan akun yang terpengaruh ke Platform Manajemen Identitas yang ditingkatkan untuk memberikan opsi keamanan dan otentikasi tambahan saat login.
Pelanggaran data yang dimaksud terjadi pada Agustus 2022, pada saat pengelola kata sandi mengklaim bahwa peretasan hanya memengaruhi kode sumber LastPass dan informasi teknis lainnya. Namun, seiring berjalannya tahun 2022, lebih banyak detail muncul. Pada akhir November, LastPass mengakui bahwa “elemen tertentu dari informasi pelanggan kami” telah dicuri oleh para peretas. Tidak ada perincian tentang jenis informasi apa yang mungkin diberikan pada saat itu. Kemudian, tepat sebelum Natal, pengelola kata sandi menyampaikan berita bahwa para peretas memperoleh “cadangan data brankas pelanggan”. semua pelanggan LastPass dan dapatkan akses ke setiap bit informasi pelanggan di lemari besi. LastPass menyatakan bahwa data pelanggan masih aman selama pengguna membuat kata sandi utama yang kuat—klaim yang dicabut beberapa hari kemudian oleh pesaing LastPass 1Password.
Sekarang tampaknya masalahnya mungkin jauh lebih mengerikan daripada yang muncul di penutupan tahun 2022, dengan dimasukkannya data curian dari layanan di luar LastPass. Dan sementara kami berharap bahwa ini adalah akhir dari pembaruan skandal ini, beberapa bulan terakhir telah menunjukkan bahwa itu selalu berpotensi menjadi lebih buruk dari sebelumnya.
Sumber: GoTo News
Disadur dari HowToGeek.com.