Dashlane Ungkap Cara Peretas Bobol Vault Password Terenkripsi

Menurut laporan Ars Technica, Dashlane telah mengungkapkan detail teknis dari serangan brute force yang berhasil mengunduh vault password terenkripsi milik kurang dari 20 pengguna. Insiden ini menjadi peringatan penting bagi pengguna password manager dan praktisi keamanan siber tentang risiko yang melekat pada mekanisme autentikasi berbasis token satu kali, serta betapa pentingnya menggunakan master password yang kuat dan unik untuk melindungi data kredensial pribadi dari ancaman yang terus berkembang dan semakin canggih.

Serangan dimulai pada Minggu, ketika aktor ancaman yang tidak dikenali menyalahgunakan mekanisme pendaftaran perangkat baru di Dashlane. Secara normal, ketika pengguna menginstal aplikasi Dashlane di perangkat baru seperti komputer atau ponsel, sistem mengirimkan token satu kali berupa enam digit ke email terdaftar pengguna untuk memverifikasi identitas. Setelah kode dimasukkan ke dalam aplikasi Dashlane di perangkat baru, sistem menyetujui pendaftaran dan mengirimkan salinan vault terenkripsi ke perangkat tersebut. Vault tetap tidak terbaca sampai pengguna memasukkan master password sebagai kunci dekripsi utama.

Mekanisme Serangan Brute Force

Dashlane menjelaskan dalam update keamanan bahwa pelaku ancaman menargetkan endpoint API untuk registrasi perangkat dan melakukan brute force dengan mengirimkan volume besar permintaan otomatis. Sistem keamanan otomatis Dashlane beroperasi sesuai rancangan dengan memicu lockout akun yang ditargetkan untuk melindungi pengguna dari upaya login berulang. Namun, sebelum serangan sepenuhnya dimitigasi, pelaku berhasil menghasilkan token valid untuk kurang dari 20 pelanggan personal plan, memungkinkan mereka mendaftarkan perangkat baru dan mengunduh salinan vault terenkripsi.

Brute-forcing kode satu kali untuk satu akun dalam jendela tiga jam akan menjadi usaha yang sia-sia. Dengan 1 juta kombinasi yang mungkin dari enam digit, peluang keberhasilan secara statistik sangat kecil. Namun, strategi pelaku cukup cerdas: mereka menargetkan basis pengguna yang besar secara simultan. Dengan menyerang banyak akun sekaligus, mereka meningkatkan probabilitas keberhasilan secara keseluruhan. Ini mirip dengan teknik password spraying di mana upaya login yang besar disebarkan di banyak akun untuk menghindari rate limiting yang diterapkan per akun. Semakin banyak akun yang ditargetkan, semakin baik peluang satu dari mereka akan jatuh. Strategi ini menunjukkan evolusi dari serangan brute force tradisional yang terfokus menjadi serangan berskala luas dengan pendekatan probabilistik.

Apa Risiko bagi Pengguna Terdampak

Untuk bisa mendapatkan konten vault dalam bentuk terbaca, penyerang masih harus membobol master password. Dashlane membuat proses ini sangat sulit dengan menggunakan algoritma Argon2, yang secara dramatis memperlambat dan memperintensifkan proses konversi master password menjadi hash kriptografis. Memasukkan tebakan dalam jumlah besar memerlukan waktu dan sumber daya komputasi yang sangat besar, bahkan ketika cracking dilakukan menggunakan GPU atau hardware khusus yang dirancang untuk hash cracking intensif. Argon2 dirancang khusus untuk melawan serangan dengan resource besar dengan membutuhkan memori yang signifikan untuk setiap percobaan.

Peluang keberhasilan cracking sangat kecil jika master password kuat, yaitu panjang, dihasilkan secara acak, dan memiliki entropi tinggi. Namun, tidak semua pengguna menggunakan master password yang demikian. Jika master password termasuk dalam daftar kata yang dipertukarkan di komunitas password cracker, peluang keberhasilan lebih tinggi, meskipun tetap kecil. Dashlane telah menghubungi semua pengguna terdampak dan menegaskan bahwa pengguna yang tidak menerima notifikasi tidak terpengaruh oleh insiden ini. Meskipun demikian, kekhawatiran tetap ada mengingat potensi cracking di masa depan seiring dengan peningkatan kekuatan komputasi yang terus berkembang.

Perbandingan dengan Insiden LastPass 2022

Insiden ini memiliki kemiripan dengan peretasan LastPass pada 2022, yang juga memungkinkan penyerang memperoleh vault terenkripsi pengguna. Namun, ada perbedaan fundamental dalam bagaimana kedua perusahaan menangani keamanan. Pertama, beberapa field di LastPass seperti URL website tetap tidak terenkripsi, yang memungkinkan penyerang membaca metadata tanpa harus mengetahui master password. Kedua, beberapa vault LastPass yang dicuri menggunakan algoritma lama yang tidak memadai untuk memperlambat proses cracking secara efektif. Dashlane menegaskan bahwa tidak ada field pengguna di vault yang tidak terenkripsi, dan pembaruan algoritma keamanan dilakukan secara otomatis tanpa memerlukan interaksi pengguna sama sekali.

Rekomendasi Mitigasi untuk Pengguna

Sebagai langkah kehati-hatan, pengguna yang terdampak disarankan untuk segera mengubah master password dan konten vault yang telah dipulihkan. Pengguna Dashlane yang tidak terpengaruh tidak perlu mengambil tindakan darurat, namun insiden ini menjadi pengingat penting untuk menggunakan master password yang kuat dan unik. Password manager hanya sekuat master password yang melindunginya. Pengguna disarankan untuk menggunakan passphrase yang panjang, terdiri dari beberapa kata acak, atau password yang dihasilkan oleh generator password yang aman. Mengganti password secara berkala juga bisa menjadi praktik yang baik meskipun kontroversial di kalangan keamanan siber.

Dashlane juga mengindikasikan bahwa notifikasi awal mereka kurang transparan, yang menyebabkan kebingungan signifikan di komunitas keamanan dan media. Perusahaan berjanji untuk meningkatkan komunikasi dalam kejadian serupa di masa depan. Bagi organisasi, insiden ini menegaskan pentingnya defense in depth: meskipun data terenkripsi, mekanisme autentikasi yang lebih kuat seperti hardware security keys atau multi-factor authentication yang lebih robust bisa mengurangi risiko serangan serupa. Developer API juga perlu mempertimbangkan rate limiting yang lebih adaptif untuk mendeteksi pola serangan distributed brute force. Mengingat bahwa Indonesia menghadapi peningkatan ancaman siber, prinsip keamanan berlapis ini menjadi semakin relevan bagi perusahaan teknologi lokal yang mengelola data sensitif pengguna.

Gambar: Ars Technica/Getty Images