LastPass menghadapi situasi yang agak disayangkan. Beberapa pengguna telah menerima peringatan bahwa orang yang tidak berwenang masuk ke akun LastPass mereka menggunakan kata sandi utama mereka. Ternyata, peringatan ini dikirim karena kesalahan, menurut pernyataan dari perusahaan.
Kami pertama kali membahas peringatan LastPass ini kemarin, dan LastPass mengatakan kemungkinan kebocoran pihak ketiga yang menyebabkan akses tidak sah. Namun, setelah penyelidikan lebih lanjut, perusahaan menemukan bahwa peringatan telah dikirim ke pengguna secara tidak benar.
Kami menerima email dari LastPass yang menjelaskan situasinya. Dan DeMichele, Wakil Presiden Manajemen Produk, LastPass, menjelaskan apa yang terjadi:
Seperti yang dinyatakan sebelumnya, LastPass mengetahui dan sedang menyelidiki laporan terbaru dari pengguna yang menerima email yang memperingatkan mereka tentang upaya login yang diblokir.
Kami dengan cepat bekerja untuk menyelidiki aktivitas ini dan saat ini kami tidak memiliki indikasi bahwa akun LastPass mana pun telah disusupi oleh pihak ketiga yang tidak sah sebagai akibat dari pengisian kredensial ini, dan kami belum menemukan indikasi bahwa kredensial LastPass pengguna A telah diambil oleh malware, ekstensi browser jahat, atau kampanye phishing.
Namun, karena sangat berhati-hati, kami terus menyelidiki dalam upaya untuk menentukan apa yang menyebabkan email peringatan keamanan otomatis terpicu dari sistem kami.
Investigasi kami menemukan bahwa beberapa peringatan keamanan ini, yang dikirim ke sebagian kecil pengguna LastPass, kemungkinan dipicu karena kesalahan. Akibatnya, kami telah menyesuaikan sistem peringatan keamanan kami dan telah menyelesaikan masalah ini.
Peringatan ini dipicu karena upaya berkelanjutan LastPass untuk mempertahankan pelanggannya dari pelaku jahat dan upaya isian kredensial. Penting juga untuk menegaskan kembali bahwa model keamanan tanpa pengetahuan LastPass berarti bahwa LastPass tidak pernah menyimpan, memiliki pengetahuan, atau memiliki akses ke Kata Sandi Utama pengguna.
Kami akan terus memantau secara teratur untuk aktivitas yang tidak biasa atau berbahaya dan, jika perlu, akan terus mengambil langkah-langkah yang dirancang untuk memastikan bahwa LastPass, penggunanya, dan data mereka tetap terlindungi dan aman.
Ini adalah kesalahan yang disayangkan, tetapi setidaknya pengguna LastPass dapat tenang mengetahui akun mereka aman dan kesalahan sederhana menyebabkan mereka menerima kesalahan. Namun, mungkin ide yang baik untuk mengatur otentikasi dua faktor hanya untuk aman.