Penyedia layanan pengelola kata sandi, LastPass, baru-baru ini mengumumkan adanya insiden kebocoran data yang berdampak pada informasi pribadi serta catatan dukungan pelanggan mereka. Perusahaan menyatakan bahwa peretasan tersebut tidak terjadi pada infrastruktur internal mereka sendiri, melainkan melalui celah keamanan pada salah satu mitra teknologi mereka, yakni firma riset pasar Klue.
Dalam pernyataan resminya, LastPass menjelaskan bahwa peretas berhasil mengakses data sensitif milik nasabah melalui akses yang disalahgunakan di sistem Klue. Informasi yang dilaporkan telah dicuri mencakup nama lengkap, nomor telepon, alamat email, alamat fisik, hingga data terkait dukungan pelanggan dan informasi penjualan. Meskipun demikian, pihak perusahaan memastikan bahwa brankas kata sandi (password vaults) milik pengguna tetap aman dan tidak terpengaruh oleh insiden ini.
Kejadian ini menempatkan LastPass dalam daftar panjang perusahaan teknologi yang menjadi korban dari insiden keamanan di Klue. Sebelumnya, perusahaan besar lainnya seperti HackerOne, Recorded Future, dan Tanium juga telah melaporkan dampak serupa. Klue sendiri baru mengungkapkan insiden peretasan ini pada pekan lalu, setelah mengidentifikasi adanya aktivitas mencurigakan di sistem mereka sejak tanggal 12 Juni.
Kelompok peretas dan pemeras yang menamakan diri mereka Icarus telah mengklaim bertanggung jawab atas serangan ini. Mereka secara terbuka mengancam akan menyebarluaskan data curian tersebut ke publik apabila tuntutan tebusan yang mereka ajukan tidak dipenuhi oleh pihak Klue. Hingga saat ini, CEO Klue, Jason Smith, belum memberikan tanggapan lebih lanjut mengenai jumlah nasabah yang terdampak atau langkah negosiasi yang diambil.
Bagi para pengguna, kekhawatiran utama muncul terkait isi dari tiket dukungan pelanggan yang turut dicuri. Meskipun rincian konten tiket tersebut belum diketahui secara pasti, dokumen semacam itu sering kali memuat informasi pribadi yang sensitif, seperti detail tagihan atau dokumen identitas yang mungkin pernah dibagikan pengguna saat meminta bantuan teknis. Hal ini meningkatkan risiko penyalahgunaan data untuk tindakan penipuan atau phishing di masa depan.
Insiden ini menjadi pengingat bagi LastPass yang sebelumnya pernah mengalami peretasan besar pada tahun 2022. Pada saat itu, peretas berhasil mendapatkan akses ke brankas kata sandi yang terenkripsi, yang kemudian berhasil dibobol melalui teknik brute-force. Mengingat rekam jejak tersebut, para ahli keamanan siber menekankan pentingnya bagi pengguna untuk selalu waspada terhadap aktivitas mencurigakan dan memperkuat keamanan akun dengan autentikasi dua faktor (2FA) yang lebih ketat.