Bagikan:

JAKARTA - Pada 25 Agustus lalu, terjadi insiden yang mengkhawatirkan pelanggan LastPass di mana, terdapat "pihak tidak berwenang" yang mengambil beberapa source code dan informasi teknik. 

Setelah insiden tersebut terjadi, pihak LastPass langsung melakukan penyelidikan dan investigasi lebih mendalam tentang data yang diambil itu. 

"Kami telah menyelesaikan proses investigasi dan forensik dalam kemitraan dengan Mandiant. Penyelidikan kami mengungkapkan bahwa aktivitas pelaku ancaman dibatasi hingga periode empat hari pada Agustus 2022," tulis CEO LastPass, Karim Toubba, dalam keterangan terbarunya. 

Lebih lanjut, LastPass mengonfirmasi bahwa tidak ada bukti bahwa insiden ini melibatkan akses ke data pelanggan atau brankas kata sandi terenkripsi. Artinya, data pelanggan dapat dipastikan aman. 

"Meskipun pelaku ancaman dapat mengakses lingkungan Pengembangan, desain dan kontrol sistem kami mencegah pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi," sambungnya. 

Toubba juga menjelaskan alasan pelaku tidak dapat mengakses data pelanggan, yang pertama adalah karena lingkungan Pengembangan LastPass secara fisik terpisah dan tidak memiliki konektivitas langsung ke lingkungan Produksi. 

"Kedua, lingkungan Pengembangan tidak berisi data pelanggan atau brankas terenkripsi. Ketiga, LastPass tidak memiliki akses ke kata sandi utama brankas pelanggan kami tanpa kata sandi utama," tambah Toubba. 

Jadi, Toubba memastikan tidak mungkin bagi siapapun selain pemilik brankas untuk mendekripsi data brankas sebagai bagian dari model keamanan Zero Knowledge-nya.  

"Untuk memvalidasi integritas kode, kami melakukan analisis kode sumber dan pembuatan produksi kami dan mengonfirmasi bahwa kami tidak melihat bukti upaya keracunan kode atau injeksi kode berbahaya," pungkasnya.

LastPass merupakan pengelola kata sandi yang mengamankan kata sandi dan informasi pribadi Anda di brankas terenkripsi.