LastPass

Seorang whistleblower yang terlibat dalam menanggapi pelanggaran data yang diderita oleh Ubiquiti Networks mengklaim bahwa insiden tersebut diremehkan dan dapat digambarkan sebagai “bencana besar”.

Pada 11 Januari, penyedia peralatan jaringan dan perangkat Internet of Things (IoT) mulai mengirimkan email kepada pelanggan yang memberi tahu mereka tentang pelanggaran keamanan baru-baru ini.

Pada saat itu, vendor mengatakan informasi termasuk nama, alamat email, dan kredensial kata sandi salted/hash mungkin telah disusupi, bersama dengan alamat rumah dan nomor telepon jika pelanggan memasukkan data ini dalam portal ui.com.

Ubiquiti tidak mengungkapkan berapa banyak pelanggan yang mungkin terlibat.

Pelanggan diminta untuk mengubah kata sandi mereka dan mengaktifkan otentikasi dua faktor (2FA).

Namun, beberapa bulan kemudian, seorang sumber yang “berpartisipasi” dalam menanggapi pelanggaran keamanan tersebut mengatakan kepada pakar keamanan Brian Krebs bahwa insiden itu jauh lebih buruk daripada yang terlihat dan dapat digambarkan sebagai “bencana besar”.

Berbicara kepada KrebsOnSecurity setelah menyampaikan kekhawatirannya melalui jalur whistleblower Ubiquiti dan otoritas perlindungan data Eropa, sumber tersebut mengklaim bahwa penjelasan penyedia cloud pihak ketiga adalah “fabrikasi” dan pelanggaran data “diremehkan secara besar-besaran” dalam upaya untuk melindungi nilai saham perusahaan itu.

Menurut dugaan responden, penjahat siber memperoleh akses administratif ke database AWS Ubiquiti melalui kredensial yang disimpan dan dicuri dari akun LastPass karyawan, yang memungkinkan mereka untuk mendapatkan akses admin root ke akun AWS, S3 buckets, log aplikasi, rahasia untuk cookie SSO, dan semua database, termasuk yang berisi kredensial pengguna.

Sumber itu juga mengatakan kepada Krebs bahwa pada akhir Desember, staf TI Ubiquiti menemukan backdoor yang ditanam oleh pelaku ancaman, yang telah dihapus pada minggu pertama Januari. Backdoor kedua juga diduga ditemukan, yang menyebabkan kredensial karyawan dirotasi sebelum publik mengetahui pelanggaran tersebut.

Para penyerang siber menghubungi Ubiquiti dan berusaha memeras 50 Bitcoin (BTC) – kira-kira $ 3 juta – dengan imbalan mereka akan diam. Namun, vendor tidak melakukan pendekatan dengan mereka.

Selengkapnya: ZDNet

Peneliti keamanan tidak merekomendasikan untuk menggunakan LastPass setelah merinci adanya 7 pelacak.

Meskipun tidak ada saran bahwa pelacak, yang dianalisis oleh peneliti Mike Kuketz, sedang mentransfer sandi atau nama pengguna pengguna yang sebenarnya, Kuketz mengatakan kehadiran mereka adalah praktik yang buruk untuk aplikasi yang sangat penting bagi keamanan yang menangani informasi sensitif semacam itu.

Menanggapi laporan tersebut, juru bicara dari LastPass mengatakan perusahaan mengumpulkan data terbatas “tentang bagaimana LastPass digunakan” untuk membantunya “meningkatkan dan mengoptimalkan produk”. Yang terpenting, LastPass memberi tahu The Register bahwa “tidak ada data sensitif pengguna yang dapat diidentifikasi secara pribadi atau aktivitas vault yang dapat dilewati melalui pelacak ini,” dan pengguna dapat memilih keluar dari analitik di bagian Privasi pada menu Pengaturan Lanjutan.

Pelacak LastPass termasuk empat dari Google yang menangani analitik dan pelaporan kerusakan, serta satu dari perusahaan bernama Segmen, yang dilaporkan mengumpulkan data untuk tim pemasaran. Kuketz menganalisis data yang dikirimkan dan menemukan bahwa data tersebut mencakup informasi tentang merek dan model ponsel cerdas, serta informasi tentang apakah pengguna mengaktifkan keamanan biometrik.

Meskipun data yang dikirimkan tidak dapat diidentifikasi secara pribadi, mengintegrasikan kode pihak ketiga ini pada awalnya akan berpotensi menimbulkan kerentanan keamanan, menurut Kuketz.

Selengkapnya: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings