Klue Bocorkan Data Pelanggan LastPass, Kredensial Lawas Pilot 2022 Jadi Celah

Penulis: Ragil  •  Rabu, 24 Juni 2026 | 06:34:31 WIB
Klue mengonfirmasi kebocoran data pelanggan LastPass akibat kredensial pilot 2022 yang tidak dicabut.

SUMATERA UTARA — Perusahaan riset pasar Klue mengonfirmasi bahwa peretasan yang terjadi pada awal Juni 2024 bermula dari kredensial yang tidak pernah dicabut sejak 2022. Kredensial tersebut merupakan bagian dari program uji coba terbatas (limited pilot) yang melibatkan pihak ketiga. Namun, alih-alih dinonaktifkan setelah pilot berakhir, kredensial itu justru menjadi celah yang dimanfaatkan kelompok peretas Icarus.

Kronologi: Dari Pilot 2022 ke Kebocoran Juni 2024

Klue mendeteksi aktivitas mencurigakan pada 12 Juni lalu. Peretas telah menggunakan kredensial lawas tersebut untuk mengakses sistem yang menyimpan OAuth tokens — semacam kunci digital yang memberi akses ke data pelanggan yang tersimpan di cloud dan database lain. Data yang dicuri kemudian digunakan untuk memeras perusahaan korban.

Juru bicara Klue, Katie Berg, mengungkapkan kepada TechCrunch bahwa kredensial tersebut "awalnya diberikan kepada pihak ketiga pada 2022 untuk pilot terbatas." Namun, Klue menolak menjelaskan tujuan pilot, durasi, maupun identitas pihak ketiga yang menerima kredensial. Perusahaan juga tidak menjawab mengapa kredensial tidak dicabut setelah pilot selesai.

Korban: LastPass dan Perusahaan Keamanan Siber Lain

Beberapa klien korporat Klue yang terdampak termasuk LastPass, perusahaan pengelola kata sandi ternama, dan sejumlah perusahaan keamanan siber lainnya. Peretas mengunduh data dari sistem yang terhubung melalui OAuth tokens tersebut. Kelompok Icarus telah mengklaim bertanggung jawab melalui situs kebocoran data mereka dan mengancam akan merilis data curian jika tebusan tidak dibayar.

Hingga berita ini ditulis, Klue belum mengonfirmasi apakah mereka telah berkomunikasi dengan peretas atau berencana membayar tuntutan uang tebusan. Perusahaan masih melakukan investigasi internal.

Jenis Kredensial Masih Misteri, Klue Janji Audit Keamanan

Dalam pernyataan resmi di blog, Klue hanya menyebut kredensial yang dicuri sebagai "kredensial lawas yang terkait dengan layanan integrasi." Perusahaan tidak merinci apakah itu username dan password karyawan, API key, atau jenis kredensial lainnya. Klue juga belum bisa memastikan apakah kredensial dicuri dari sistem pihak ketiga atau dari sistem internal mereka sendiri.

"Kami sedang melakukan tinjauan menyeluruh terhadap manajemen kredensial, kontrol akses vendor, kemampuan pemantauan, dan proses keamanan deployment," kata Katie Berg. Klue berjanji akan merilis detail lebih lanjut setelah investigasi selesai.

Pelajaran untuk Pengguna: Kenali Risiko Kredensial yang Tidak Pernah Mati

Kasus Klue menjadi pengingat bahwa kredensial yang tidak pernah dinonaktifkan — apalagi yang sudah diberikan ke pihak ketiga — adalah bom waktu. Untuk pengguna individu, praktik seperti tidak pernah mengganti password akun layanan lama atau membiarkan token aplikasi pihak ketiga tetap aktif meski sudah tidak dipakai bisa membawa risiko serupa.

Bagi perusahaan, insiden ini menekankan pentingnya siklus hidup kredensial: setiap kredensial harus memiliki masa berlaku, dan harus segera dicabut begitu tidak lagi diperlukan. Jika tidak, celah sekecil pilot proyek tahun 2022 bisa berubah menjadi bencana data di tahun 2024.

Reporter: Ragil
Sumber: techcrunch.com This article was automatically rewritten by AI based on the source above without altering the facts of the original article.
Back to top