Pembobolan LastPass 2022 Dijelaskan: Apa yang Dicuri, Apa Artinya, dan Cara Bermigrasi
Pada Agustus / November 2022, penyerang mengeksfiltrasi cadangan cloud LastPass termasuk brankas pengguna terenkripsi plus metadata tidak terenkripsi. Berikut apa yang terdokumentasi dan apa yang harus dilakukan sekarang jika Anda masih memiliki akun LastPass.
Lini masa yang terdokumentasi
Menurut pemberitahuan insiden yang dipublikasikan LastPass: pada Agustus 2022, penyerang membobol mesin seorang pengembang LastPass dan mengakses kode sumber. Pada November 2022, penyerang menggunakan kredensial dari insiden Agustus untuk mengakses cadangan cloud di penyimpanan cloud pihak ketiga milik LastPass. Cadangan tersebut berisi brankas pelanggan terenkripsi plus metadata tidak terenkripsi — URL brankas, alamat email akun, informasi penagihan. LastPass mengungkapkan pencurian data tersebut pada 22 Desember 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Apa yang sebenarnya dilindungi enkripsi
Brankas LastPass dienkripsi dengan AES-256, dengan kunci yang diturunkan dari kata sandi induk melalui PBKDF2. Kekuatan perlindungan bergantung pada (a) entropi kata sandi induk dan (b) jumlah iterasi PBKDF2. Jumlah iterasi default PBKDF2 LastPass adalah 5.000 untuk akun lama sebelum dinaikkan menjadi 100.100 pada 2018. Akun yang dibuat sebelum 2018 mungkin masih memiliki jumlah iterasi rendah kecuali pengguna meningkatkannya secara manual — pemberitahuan insiden LastPass mendokumentasikan hal ini. Kata sandi induk yang lemah dengan jumlah iterasi rendah dapat di-brute-force secara offline; kata sandi induk yang kuat dengan 100.100+ iterasi tidak bisa, dengan perangkat keras saat ini.
Apa yang harus dilakukan jika Anda memiliki atau pernah memiliki akun LastPass
Langkah 1: Ekspor brankas LastPass Anda dari konsol web (Settings → Advanced Options → Export). Langkah 2: Impor ke Bitwarden atau 1Password (keduanya memiliki pengimpor LastPass langsung yang didokumentasikan di bitwarden.com/help/import-from-lastpass dan 1password.com/help). Langkah 3: Putar kata sandi pada akun mana pun dengan biaya pengungkapan tinggi — keuangan, email, media sosial utama. Langkah 4: Aktifkan 2FA pada akun mana pun yang mendukungnya. Langkah 5: Hapus akun LastPass dari konsol web. Jika kata sandi induk Anda kuat (12+ karakter acak atau frasa sandi 6+ kata), brankas terenkripsi aman secara komputasi; pemutaran kata sandi bersifat pencegahan. Jika kata sandi induk Anda lemah, perlakukan akun bernilai tinggi sebagai telah dibobol.
Mengapa pembobolan ini memengaruhi seluruh kategori pengelola kata sandi, bukan hanya LastPass
Pembobolan LastPass mendorong peneliti keamanan untuk mencermati lebih saksama pilihan arsitektur di seluruh kategori ini. Dua pelajaran spesifik: (1) Jumlah iterasi enkripsi tidak semuanya setara — perbedaan antara 5.000 dan 100.100 iterasi PBKDF2 sangat besar. Argon2id (KDF modern yang digunakan Bitwarden dan lainnya) jauh lebih kuat lagi. (2) Paparan metadata (URL akun, alamat email) adalah kerugian privasi nyata bahkan ketika isi brankas tetap terenkripsi, karena metadata membantu penyerang memprioritaskan target. Pengelola modern yang telah diaudit membatasi metadata pada lapisan data-at-rest.
Sumber
Pemberitahuan insiden resmi LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Pengimpor LastPass Bitwarden: bitwarden.com/help/import-from-lastpass. Bantuan 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Semua URL diakses pada 2026-04-30.