Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for LastPass

LastPass

Karyawan LastPass Bisa Mencegah Peretasan Dengan Pembaruan Perangkat Lunak

by

Peretas mengeksploitasi kerentanan dalam perangkat lunak Plex Media Server yang ditambal pada Mei 2020. ‘Versi yang mengatasi eksploit ini kira-kira 75 versi yang lalu,’ kata Plex.

Ternyata pelanggaran besar-besaran di LastPass dapat dihentikan, atau setidaknya ditunda, jika seorang karyawan perusahaan memperbarui perangkat lunak di komputer rumah mereka.

Minggu ini, LastPass mengungkapkan peretas melakukan pelanggaran dengan memasang malware di komputer rumah karyawan, memungkinkan mereka menangkap penekanan tombol di mesin. Tapi satu pertanyaan yang tersisa adalah bagaimana malware itu dikirimkan.

Pada saat itu, LastPass hanya mengatakan(Opens in a new window) bahwa peretas mengeksploitasi “paket perangkat lunak media pihak ketiga yang rentan”, tanpa menyebutkan vendor atau kelemahan yang sebenarnya. Hal itu membuat banyak orang bertanya-tanya apakah peretas telah menyalahgunakan kerentanan yang saat ini tidak diketahui, yang dapat membahayakan banyak pengguna lain.

PCMag sejak itu mengetahui bahwa peretas menargetkan perangkat lunak Plex Media Server untuk memuat malware di komputer rumah karyawan LastPass. Namun yang menarik, kelemahan yang dieksploitasi bukanlah hal baru. Menurut Plex, kerentanan tersebut berusia hampir tiga tahun dan telah ditambal sejak lama.

Plex memberi tahu PCMag bahwa kerentanannya adalah CVE-2020-5741(Buka di jendela baru), yang diungkapkan perusahaan secara publik kepada pengguna pada Mei 2020. “Penyerang yang sudah memiliki akses admin ke Plex Media Server dapat menyalahgunakan fitur Unggah Kamera untuk buat server mengeksekusi kode berbahaya, ”kata perusahaan itu saat itu.

“Pada saat itu, seperti disebutkan dalam posting itu, versi terbaru dari Plex Media Server tersedia untuk semua (7-MAY-2020),” kata juru bicara Plex. “Sayangnya, karyawan LastPass tidak pernah memutakhirkan perangkat lunak mereka untuk mengaktifkan tambalan. Sebagai referensi, versi yang mengatasi eksploit ini kira-kira 75 versi yang lalu.”

Selengkapnya: PC Mag

Peretas Mencuri Brankas Kata Sandi LastPass Terenkripsi, Tim The Verge Baru Saja Mendengarnya

by

Bulan lalu, perusahaan mengumumkan bahwa pelaku ancaman telah mengakses elemen tertentu dari informasi pelanggan. Sama seperti banyak pekerja AS yang pergi untuk liburan, perusahaan mengungkapkan itu berarti kata sandi terenkripsi mereka.

LastPass adalah salah satu aplikasi penyimpan dan pengaturan kata sandi yang populer. Baru-baru in LastPass mengumumkan pelanggaran data, yaitu peretas dapat menyalin cadangan data brankas pelanggan. LastPass berjanji untuk menyimpan semua kata sandi di satu tempat aman.

Pengguna yang masih memiliki akun untuk menyimpan kata sandi dan informasi sign-in di LastPass, kemungkinan besar sudah di tangan peretas. Perusahaan memastikan bahwa kata sandi akan aman jika tersusun dari kata sandi utama yang kuat sesuai anjuran dan secara berkala mengubah kata sandi situs web yang telah disimpan.

Pada bulan Agustus, LastPass mendapatkan kabar bahwa data pengguna telah diakses, namun tidak mempercayainya. Kemudian pada bulan November, LastPass mendeteksi gangguan dan tampaknya mengandalkan informasi yang dicuri dalam insiden Agustus.

CEO LastPass, Karim Toubba, mengatakan bahwa aktor jahat hanya bisa mendapatkan data terenkripsi dan karena itu, kata sandi utama haruslah bagus. Sangat sulit untuk mencoba memaksa menebak kata sandi utama tetapi tetap dapat dicoba untuk membukanya dengan menebak kata sandi acak atau brute-forcing. LastPass mengatakan tidak pernah memiliki akses ke kata sandi utama.

Data yang tidak terenkripsi dapat memberikan peretas petunjuk tentang situs web mana yang terdapat akun si target. Jika peretas menargetkan pengguna tertentu, hal itu dapat menjadi informasi kuat jika digabungkan dengan phishing atau jenis serangan lainnya.

Pengumuman ini muncul tiga hari sebelum natal, saat dimana banyak departemen IT akan berlibur dan orang cenderung kurang memperhatikan pengelolaan pembaruan kata sandi mereka.

Menurut Toubba, perusahaan mengambil segala macam tindakan pencegahan sebagai akibat dari pelanggaran awal dan pelanggaran sekunder yang mengungkap cadangan, termasuk menambahkan lebih banyak pencatatan untuk mendeteksi aktivitas mencurigakan di masa mendatang, membangun kembali lingkungan pengembangannya, merotasi kredensial, dan banyak lagi.

Selengkapnya: The Verge+

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

LastPass Mengatakan Peretas Memiliki Akses Internal Selama Empat Hari

by

LastPass mengatakan penyerang di balik pelanggaran keamanan Agustus memiliki akses internal ke sistem perusahaan selama empat hari sampai mereka terdeteksi dan diusir.

Dalam pembaruan pemberitahuan insiden keamanan yang diterbitkan bulan lalu, CEO Lastpass Karim Toubba juga mengatakan bahwa penyelidikan perusahaan (dilakukan dalam kemitraan dengan perusahaan keamanan siber Mandiant) tidak menemukan bukti bahwa pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi.

“Meskipun pelaku ancaman dapat mengakses lingkungan Pengembangan, desain dan kontrol sistem kami mencegah pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi,” kata Toubba.

Sementara metode di mana penyerang dapat mengkompromikan titik akhir pengembang Lastpass untuk mengakses lingkungan Pengembangan, penyelidikan menemukan bahwa aktor ancaman dapat menyamar sebagai pengembang setelah ia “berhasil mengautentikasi menggunakan otentikasi multi-faktor.”

Setelah menganalisis kode sumber dan pembuatan produksi, perusahaan juga tidak menemukan bukti bahwa penyerang mencoba menyuntikkan kode berbahaya.

Ini mungkin karena hanya tim Rilis Build yang dapat mendorong kode dari Pengembangan ke Produksi, dan meskipun demikian, Toubba mengatakan proses tersebut melibatkan tahap peninjauan kode, pengujian, dan validasi.

Selain itu, ia menambahkan bahwa lingkungan Pengembangan LastPass “secara fisik terpisah dari, dan tidak memiliki konektivitas langsung ke” lingkungan Produksi Lastpass.

Setelah insiden itu, Lastpass telah “menerapkan kontrol keamanan yang ditingkatkan termasuk kontrol dan pemantauan keamanan titik akhir tambahan,” serta kemampuan intelijen ancaman tambahan dan teknologi deteksi dan pencegahan yang ditingkatkan di lingkungan Pengembangan dan Produksi.

Pemberitahuan pelanggaran tertunda selama dua minggu
Pembaruan ini muncul setelah Lastpass memberi tahu pengguna pada 25 Agustus bahwa “baru-baru ini mendeteksi beberapa aktivitas yang tidak biasa” di lingkungan pengembangannya.

Pengungkapan itu terjadi setelah BleepingComputer mengetahui pelanggaran tersebut dari orang dalam satu minggu sebelumnya dan menghubungi perusahaan pada 21 Agustus tanpa menerima jawaban atas pertanyaan dan permintaan untuk mengonfirmasi insiden tersebut.

Dalam surat yang dikirim ke pelanggan setelah email BleepingComputer, Lastpass mengkonfirmasi bahwa itu diretas dua minggu sebelumnya dan bahwa penyerang telah mencuri beberapa kode sumber dan informasi teknis kepemilikan.

“Dua minggu lalu, kami mendeteksi beberapa aktivitas yang tidak biasa dalam bagian dari lingkungan pengembangan LastPass,” kata perusahaan saat itu.

“Setelah memulai penyelidikan segera, kami tidak melihat bukti bahwa insiden ini melibatkan akses ke data pelanggan atau brankas kata sandi terenkripsi.”

LastPass menyediakan salah satu perangkat lunak manajemen kata sandi paling populer di dunia, dengan perusahaan mengklaim bahwa itu digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

Sumber: BleepingComputer

Sistem pengembang LastPass diretas untuk mencuri kode sumber

by

Perusahaan pengelola kata sandi LastPass diretas dua minggu lalu, memungkinkan pelaku ancaman mencuri kode sumber dan informasi teknis milik perusahaan.

Sumber mengatakan bahwa karyawan berebut untuk menahan serangan setelah LastPass dilanggar.

Setelah mengirimkan pertanyaan tentang serangan itu, LastPass merilis peringatan keamanan hari ini yang mengonfirmasi bahwa itu dilanggar melalui akun pengembang yang disusupi yang digunakan peretas untuk mengakses lingkungan pengembang perusahaan.

Sementara LastPass mengatakan tidak ada bukti bahwa data pelanggan atau brankas kata sandi terenkripsi telah disusupi, pelaku ancaman memang mencuri bagian dari kode sumber mereka dan “informasi teknis hak milik LastPass.”

LastPass belum memberikan perincian lebih lanjut mengenai serangan itu, bagaimana pelaku ancaman menyusup ke akun pengembang, dan kode sumber apa yang dicuri.

Penasihat keamanan LastPass dikirim melalui email ke pelanggan

LastPass adalah salah satu perusahaan pengelola kata sandi terbesar di dunia, mengklaim telah digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

Karena konsumen dan bisnis menggunakan perangkat lunak perusahaan untuk menyimpan kata sandi mereka dengan aman, selalu ada kekhawatiran bahwa jika perusahaan diretas, itu dapat memungkinkan pelaku ancaman mengakses kata sandi yang disimpan.

Namun, LastPass menyimpan kata sandi di ‘lemari terenkripsi’ yang hanya dapat didekripsi menggunakan kata sandi utama pelanggan, yang menurut LastPass tidak dikompromikan dalam serangan siber ini.

Tahun lalu, LastPass mengalami serangan isian kredensial yang memungkinkan pelaku ancaman mengonfirmasi kata sandi utama pengguna. Juga terungkap bahwa kata sandi master LastPass dicuri oleh pelaku ancaman yang mendistribusikan malware pencuri kata sandi RedLine.

Karena itu, sangat penting untuk mengaktifkan otentikasi multi-faktor pada akun LastPass Anda sehingga pelaku ancaman tidak akan dapat mengakses akun Anda meskipun kata sandi Anda disusupi.

Sumber: Bleeping Computer

Ekstensi Google Chrome dapat mengambil fingerprint untuk melacak Anda secara online

by

Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.

Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.

Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.

Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.

Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.

Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.

Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.

Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.

Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.

Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.

Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.

Menghasilkan Sidik Jari Ekstensi
Sumber: BleepingComputer

Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”

Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.

Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.

Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.

Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.

Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.

Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.

z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.

Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.

Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.

Sumber: Bleeping Computer

Have I Been Pwned menambahkan 441 ribu akun yang dicuri oleh malware RedLine

by

Layanan pemberitahuan pelanggaran data Have I Been Pwned sekarang memungkinkan Anda memeriksa apakah email dan kata sandi Anda adalah salah satu dari 441.000 akun yang dicuri dalam kampanye pencurian informasi menggunakan malware RedLine.

RedLine saat ini adalah malware pencuri informasi yang paling banyak digunakan, didistribusikan melalui kampanye phishing dengan lampiran berbahaya, penipuan YouTube, dan situs warez/crack.

Setelah diinstal, malware RedLine akan mencoba mencuri cookie, kredensial, kartu kredit, dan informasi pelengkapan otomatis yang disimpan di browser. Itu juga mencuri kredensial yang disimpan di klien VPN dan klien FTP, mencuri dompet cryptocurrency, dan dapat mengunduh perangkat lunak tambahan atau menjalankan perintah pada sistem yang terinfeksi.

Data yang dicuri dikumpulkan ke dalam arsip, yang disebut “log”, dan diunggah ke server jauh tempat penyerang dapat mengumpulkannya nanti.

Penyerang menggunakan log ini untuk berkompromi dengan akun lain atau menjualnya di pasar kriminal web gelap hanya dengan $5 per log.

Akhir pekan lalu, peneliti keamanan Bob Diachenko menemukan server yang mengekspos lebih dari 6 juta log RedLine yang dikumpulkan pada bulan Agustus dan September 2021. Pelaku ancaman kemungkinan menggunakan server ini untuk menyimpan data yang dicuri tetapi gagal mengamankannya dengan benar.

Minggu ini banyak LastPass menerima email peringatan bahwa kata sandi utama mereka mungkin disusupi karena digunakan untuk masuk dari lokasi yang tidak biasa.

Diachenko menemukan bahwa banyak kredensial LastPass dicuri dan disimpan di log RedLine yang terbuka dan memeriksa berbagai email untuk pengguna LastPass yang menerima email untuk melihat apakah mereka terdaftar.

Data RedLine berisi 441.657 alamat email unik yang dicuri oleh RedLine yang sekarang dapat dicari di Have I Been Pwned. Sayangnya, jika alamat email Anda terdaftar di log malware RedLine, tidak cukup hanya mengubah kata sandi yang terkait dengan akun email itu.

Karena RedLine menargetkan semua data Anda, Anda harus mengubah kata sandi untuk semua akun yang digunakan pada mesin, termasuk VPN perusahaan dan akun email, serta akun pribadi lainnya.

Saat RedLine mencoba mencuri dompet cryptocurrency, Anda harus segera mentransfer token ke dompet lain jika Anda memilikinya. Jika email Anda terdaftar sebagai bagian dari catatan RedLine, Anda harus memindai komputer Anda menggunakan perangkat lunak antivirus untuk mendeteksi dan menghapus malware yang diinstal.

Sumber : Bleeping Computer

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

by

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Notifikasi LastPass

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer