Pelanggaran Yang Mengubah Asumsi Keamanan Cloud Perusahaan
Perlanggaran LastPass 2022 tidak terutama cerita tentang pengelola kata sandi. Ini adalah cerita tentang apa yang terjadi ketika perusahaan mempercayai vendor cloud dengan data paling sensitif mereka dan kepercayaan itu dilanggar—bukan melalui kecerobohan tetapi melalui kelemahan implementasi yang tidak terlihat dari luar.
LastPass memasarkan arsitektur zero-knowledge. Arsitektur itu tidak zero-knowledge dalam praktik. 25 juta pengguna memiliki vault terenkripsi mereka yang diasilkan. Pelanggaran itu pertama kali diungkapkan pada Agustus 2022 dan diperbarui beberapa kali melalui akhir 2022 ketika cakupan berkembang.
Untuk perusahaan dalam layanan kesehatan, keuangan, dan hukum—sektor di mana paparan data menciptakan tanggung jawab regulasi—pelanggaran LastPass bukan insiden terisolasi untuk ditonton dari jarak jauh. Ini adalah pratinjau dari masalah sistemik.
Detail Implementasi Yang Penting
Analisis pasca-pelanggaran mengungkapkan dua kelemahan implementasi kritis:
Defisiensi hitungan iterasi: LastPass menggunakan PBKDF2 untuk derivasi kunci. Untuk akun yang lebih baru, mereka menggunakan 100.100 iterasi—di bawah rekomendasi industri 600.000. Untuk akun yang lebih lama (sebelum 2018 dalam beberapa kasus), hitungan iterasi serendah 1 iterasi. Hitungan iterasi lebih rendah membuat serangan brute-force pada vault terenkripsi secara komputasi layak. Penyerang yang memperoleh vault dapat secara sistematis mencoba mengatasi kata sandi master.
Paparan metadata: Sambil vault isi ...