Sebuah kelompok hacker telah mencuri sejumlah uang senilai $4,4 juta (Rp 70 miliar) dalam bentuk mata uang kripto dengan cara membobol password yang disimpan dalam basis data LastPass pada 25 Oktober 2023.
Informasi ini berasal dari laporan ZachXBT dan pengembang MetaMask Taylor Monahan yang berhasil melacak pencurian ini.
“Kami mohon kepada orang-orang untuk menghubungi korban-korban yang aset kriptonya telah dicuri,” ujar ZachXBT seperti yang dikutip dari BleepingComputer pada Selasa (31/10/2023).
Penyelidikan dimulai dengan mengajukan beberapa pertanyaan kepada korban. Akhirnya, mereka menemukan satu kesamaan di antara para korban, yaitu penggunaan LastPass.
Menurut tweet yang diunggah oleh ZachXBT di X, para pelaku ancaman berhasil mencuri $4,4 juta dari lebih dari 25 korban berkat celah keamanan LastPass yang terjadi pada tahun 2022.
Pada tahun tersebut, LastPass mengalami dua pelanggaran yang memungkinkan para penjahat siber untuk mencuri password, data pelanggan, dan cadangan produksi yang disimpan dalam layanan cloud, termasuk brankas kata sandi terenkripsi.
Meskipun brankas tersebut terenkripsi dan berhasil dicuri, hanya pelanggan yang mengetahui password utama yang dapat mendekripsinya, kata CEO LastPass, Karim Toubba saat itu.
Oleh karena itu, jika pengguna menggunakan password terkuat yang direkomendasikan oleh LastPass, brankas mereka seharusnya tetap aman.
Namun, LastPass memperingatkan bahwa bagi pengguna yang menggunakan password yang lemah, disarankan untuk segera mengganti password utama.
“Terlepas dari panjang dan kompleksitas password utama serta pengaturan jumlah iterasi, Anda mungkin ingin mengganti password utama Anda,” tulis buletin dukungan LastPass tentang serangan siber ini.
Saran tersebut diberikan kepada pengguna yang menggunakan password lemah karena lebih mudah diretas menggunakan program khusus yang memanfaatkan GPU untuk melakukan serangan brute force terhadap password tersebut.
Berdasarkan penelitian yang dilakukan oleh Monahan dan ZachXBT, diduga bahwa para penjahat mencuri brankas password untuk mendapatkan akses ke frasa sandi, kredensial, dan kunci pribadi dompet mata uang kripto yang tersimpan di dalamnya.
Setelah mereka mendapatkan akses ke informasi ini, mereka dapat memuat dompet tersebut ke perangkat mereka sendiri dan menguras semua dana yang ada di dalamnya.
“Saya yakin bahwa dalam sebagian besar kasus ini, password yang dicuri berasal dari LastPass,” tulis cuitan Monahan pada bulan Agustus lalu.
“Jumlah korban yang hanya memiliki sekelompok password tertentu dan menyimpannya di LastPass terlalu banyak untuk diabaikan,” tambahnya.
Temuan ini menunjukkan bahwa para pelaku ancaman di balik serangan LastPass berhasil membongkar brankas password dan menggunakan informasi yang mereka curi untuk keuntungan mereka sendiri.
