Para pengguna manajer kata sandi populer kini menghadapi risiko serius setelah peneliti keamanan siber menemukan celah keamanan kritis pada empat aplikasi berbasis cloud. Temuan ini mengancam data lebih dari 60 juta pengguna individu dan sekitar 125.000 bisnis di seluruh dunia.
Studi yang dilakukan oleh pakar dari ETH Zurich dan Università della Svizzera italiana (USI) mengidentifikasi 27 kerentanan pada Bitwarden, LastPass, Dashlane, dan 1Password. Celah tersebut memungkinkan penyerang untuk mengakses serta mencuri data login yang tersimpan dalam aplikasi.
Detail Kerentanan pada Empat Manajer Kata Sandi
Bitwarden memiliki tingkat kerentanan paling tinggi dengan 12 celah, diikuti oleh LastPass sebanyak tujuh, Dashlane enam, dan 1Password dua. Peneliti mengklasifikasikan serangan potensial ke dalam empat kategori utama yang memengaruhi keamanan pengguna.
Pertama, celah Key Escrow terkait fitur pemulihan akun yang memungkinkan akses kunci enkripsi tanpa otentikasi maksimal. Bitwarden rentan terhadap tiga serangan jenis ini, sedangkan LastPass satu.
Kedua, celah enkripsi vault yang mengungkap data yang tidak dienkripsi secara menyeluruh. Vault tidak dienkripsi sebagai satu blok utuh; setiap item dienkripsi terpisah, sehingga informasi lain tentang isi vault dapat terlihat. LastPass paling rentan dalam kategori ini dengan lima celah, Bitwarden empat, dan Dashlane satu.
Ketiga, celah berbagi atau sharing flaws. Sistem berbagi kredensial yang minim otentikasi membuka peluang bagi pengungkapan data atau serangan lanjutan. Bitwarden memiliki dua celah di area ini, LastPass dan Dashlane masing-masing satu.
Keempat, kerentanan kompatibilitas mundur yang ada untuk menjaga dukungan enkripsi versi lama. Ini memungkinkan penyerang menurunkan metode enkripsi ke algoritma lebih lemah. Dashlane terkena empat celah, sementara Bitwarden tiga celah pada area ini.
Metode Eksploitasi dan Potensi Dampaknya
Peneliti menyebutkan penyerang dapat menggunakan teknik seperti clickjacking untuk memanipulasi interaksi pengguna dan mengeksploitasi celah tersebut. Jika berhasil, peretas dapat mengambil alih akses vault pengguna dan mencuri seluruh kredensial akun online yang tersimpan.
Situasi ini memunculkan kembali kekhawatiran mengenai seberapa aman penyimpanan kata sandi dalam aplikasi berbasis cloud, yang selama ini dipercaya sebagai solusi perlindungan data pribadi.
Respons Penyedia dan Upaya Perbaikan
Sebelum publikasi hasil riset, peneliti telah menghubungi para pengembang manajer kata sandi dengan periode pengungkapan selama 90 hari. Tidak ada indikasi kerentanan tersebut telah disalahgunakan secara masif. Namun, semua perusahaan yang terdampak sudah mulai melakukan perbaikan.
Bitwarden menyatakan semua celah yang ditemukan telah diperbaiki dan berterima kasih pada peneliti keamanan. LastPass dan Dashlane juga mengonfirmasi telah menerapkan langkah-langkah mitigasi sesuai rekomendasi.
Sementara itu, 1Password menganggap dua celah yang ditemukan sebagai bagian dari batasan arsitektur yang telah terdokumentasi. Pihaknya berkomitmen untuk terus memperkuat keamanan dan menggunakan metode otentikasi Secure Remote Password (SRP) untuk melindungi data pengguna dari serangan sisi server.
Langkah yang Harus Dilakukan Pengguna
Pengguna disarankan untuk selalu memperbarui aplikasi manajer kata sandi ke versi terbaru agar mendapat patch keamanan terkini. Selain itu, mengaktifkan otentikasi multifaktor (MFA) pada semua akun dapat menambah lapisan perlindungan penting.
Memantau pemberitahuan resmi dari penyedia manajer kata sandi juga perlu dilakukan agar tidak terlewat informasi terkait keamanan dan fitur baru yang dapat meningkatkan proteksi data.
Pentingnya Kesadaran Keamanan Digital
Kasus ini menegaskan bahwa tidak ada solusi keamanan yang sempurna. Manajer kata sandi sangat membantu dalam mengelola kredensial dan memudahkan pengguna, namun tetap membutuhkan pengawasan dan pemahaman risiko.
Pengguna harus aktif melakukan tindakan pencegahan dan menilai ulang kebiasaan pengelolaan kata sandi secara berkala demi menghindari potensi ancaman di era digital yang terus berkembang.
