LastPass masih menangani pelanggaran data tahun lalu, yang mengungkap informasi pribadi dan kata sandi beberapa pelanggan. Namun informasi baru tentang kisah ini mengingatkan kita mengapa setiap pengguna komputer dan bisnis perlu menjaga keamanan dengan serius.
Pada tanggal 28 Februari, LastPass akhirnya menjelaskan bagaimana pelanggaran datanya terjadi. Seorang peretas awalnya menargetkan “perangkat lunak media pihak ketiga yang rentan” di komputer rumah pribadi teknisi DevOps, memasang keylogger untuk mengumpulkan kata sandi utama karyawan. DevOp ini adalah salah satu dari empat karyawan LastPass yang dapat mengakses brankas perusahaan, jadi dapat diasumsikan bahwa ini adalah peretasan yang ditargetkan. Ya, karyawan yang ditargetkan dalam peretasan ini memiliki laptop perusahaan (yang telah diganti). Beberapa laporan menyatakan bahwa karyawan tersebut menggunakan komputer pribadinya untuk mengakses sumber daya kerja, meskipun hal ini belum dikonfirmasi oleh LastPass.
Inilah hal yang menarik; “perangkat lunak media pihak ketiga yang rentan” yang dieksploitasi dalam peretasan ini adalah Plex. Berita awal keterlibatan Plex berasal dari pembocor (melalui Ars Technica), tetapi kemudian dikonfirmasi oleh Plex pada 1 Maret.
Ketika laporan Ars Technica keluar, Plex mengatakan bahwa LastPass belum dihubungi. Namun banyak hal telah berubah—LastPass memberi tahu Plex bahwa kerentanan yang dieksploitasi adalah CVE-2020-5741. Plex memberi tahu Review Geek bahwa eksploit ini diungkapkan dan ditambal pada Mei 2020, setidaknya 2,5 tahun sebelum pelanggaran LastPass.
Jelas, karyawan LastPass yang ditargetkan lalai memperbarui server Plex mereka setidaknya selama dua tahun. Ada hampir 75 pembaruan Plex sejak eksploitasi CVE-2020-5741 ditambal. Ini adalah kegagalan serius keamanan pribadi dan perusahaan; sebagai catatan Plex, pemberitahuan pembaruan disediakan “melalui UI admin,” dan pembaruan otomatis cukup umum.
Tapi di satu sisi, kegagalan ini bisa dimengerti. Beberapa pembaruan Plex perlu dilakukan secara manual, dan seperti yang diketahui pengguna Plex, pembaruan ini dapat menimbulkan masalah atau memaksa Anda untuk mengulang beberapa metadata perpustakaan media Anda. Karyawan LastPass yang ditargetkan dalam peretasan ini mungkin tidak menyadari bahwa pembaruan harus diinstal secara manual (walaupun ada kemungkinan mereka sengaja menghindari pembaruan).
Ambil ini sebagai pelajaran; bagian mana pun dari jaringan dapat membahayakan keamanan Anda, atau bahkan keamanan orang lain. Anda harus selalu memperbarui produk, dan jika perangkat di rumah Anda mengalami eksploit yang belum ditambal, Anda harus menjadikannya offline. (Juga, Plex perlu meningkatkan proses pembaruannya. Saya tahu ini dari pengalaman.)
Sayangnya, perusahaan teknologi tidak tahu cara memimpin dengan memberi contoh. LastPass memikul tanggung jawab di sini, dan memiliki rekam jejak untuk membuktikan bahwa keamanan tidak dianggap serius. Kami telah menghubungi LastPass untuk memberikan komentar dan sedang menunggu tanggapan.Disadur dari HowToGeek.com.