Cuprins
Recomandări cheie
- LastPass a suferit mai multe încălcări ale datelor în trecut, inclusiv una în 2015 care a expus e-mailurile utilizatorilor și parolele principale. Cu toate acestea, majoritatea utilizatorilor care au folosit straturi de securitate suplimentare au fost probabil protejați de încălcare.
- LastPass s-a confruntat cu critici în 2021, când s-a descoperit că aplicația lor pentru Android conținea instrumente de urmărire terță parte, stârnind îngrijorări cu privire la securitate. LastPass a răspuns declarând că trackerele au fost folosite pentru telemetria aplicației și ar putea fi dezactivate de utilizatori.
- LastPass a experimentat o breșă semnificativă în 2022, când atacatorii au accesat datele clienților și informațiile din seiful utilizatorilor. Această încălcare a dus la consecințe suplimentare pentru LastPass și compania mamă, GoTo, inclusiv copii de rezervă criptate furate și dovezi ale unei chei de criptare accesate.
- În general, în timp ce LastPass este în general considerat sigur, multiplele încălcări și incidente de securitate i-au determinat pe unii utilizatori să caute manageri de parole alternative care nu au fost compromise.
Mulți dintre noi folosesc manageri de parole pentru a ne păstra datele private în siguranță, LastPass fiind una dintre cele mai populare opțiuni. Dar LastPass a suferit o parte echitabilă de încălcări ale datelor, punând în pericol informațiile sensibile ale clienților.
Deci, de câte ori a fost piratat LastPass și este încă sigur de utilizat?
1. Încălcare LastPass 2015
Credit imagine: Ervins Strauhmanis/Flickr
Primul hack LastPass a avut loc în iunie 2015, la șapte ani de la înființarea companiei. Această încălcare gravă a expus e-mailurile și parolele principale ale utilizatorilor LastPass, precum și cuvintele indicii sau de memento folosite pentru a reține parolele principale. Hackul a fost observat când LastPass a detectat o activitate suspectă în rețea, care a fost în curând blocată. Cu toate acestea, unele pagube fuseseră deja făcute.
Într-o notă acum expirată pentru clienți (disponibil prin Arhiva Internet), LastPass a informat utilizatorii că cei care au folosit straturi suplimentare de securitate, cum ar fi hashingul și sărarea parolelor lor, probabil că erau protejați de hack. Din fericire, majoritatea utilizatorilor LastPass folosesc aceste metode de securitate, ceea ce înseamnă că doar o mică parte dintre clienți au șansa de a fi afectați.
LastPass a mai declarat că nu crede că a fost accesat niciun cont de utilizator din cauza atacului, dar a îndemnat utilizatorii să-și verifice adresele de e-mail și să reînnoiască orice săptămână sau au folosit în mod repetat parole principale pentru a spori securitatea.
La câteva săptămâni după hack, LastPass a publicat o postare pe blog declarând că securitatea sa s-a îmbunătățit de la hack, cu o serie de modificări mici și mari fiind făcute pentru a proteja în continuare clienții. Inclusă în aceste modificări a fost introducerea modulelor de securitate hardware (HSM), care protejează infrastructura criptografică LastPass.
2. Incident de urmărire LastPass 2021
Deși LastPass nu a fost piratat în 2021, a întâmpinat probleme când s-a descoperit că aplicația sa pentru Android conținea instrumente de urmărire terță parte. În februarie 2021, o aplicație de analiză de securitate numită Exodus Privacy a dezvăluit că a găsit șapte trackere în aplicația LastPass pentru Android, stârnind suspiciuni în rândul utilizatorilor. Cercetătorul de securitate Mike Kuketz a comentat descoperirea într-un Postare de blog Kuketz IT Securityprecizând că „este complet exclus să se integreze [ads and trackers] în aplicațiile de gestionare a parolelor.”
Kuketz a enumerat, de asemenea, cele șapte dispozitive de urmărire găsite în aplicația LastPass pentru Android, care includea instrumente de urmărire de la Google Analytics, Segment și AppsFlyer. Acordarea accesului la platformele de analiză de marketing în acest mod a fost condamnată de Kuketz, care a scris că abordarea LastPass este „extrem de discutabilă în ceea ce privește securitatea”.
Kuketz a subliniat că aplicația LastPass Android trebuia verificată manual pentru a discerne dacă instrumentele de urmărire urmăresc în mod activ utilizatorii. Cu toate acestea, Kuketz a remarcat doar prezența trackerelor ca fiind o practică proastă pentru o aplicație care trebuie să prioritizeze securitatea.
Ca răspuns la această critică, LastPass a informat utilizatorii că folosește instrumente de analiză. LastPass a subliniat că acest lucru a fost făcut pentru a obține informații despre „telemetria aplicației, datele de raportare a erorilor și erorilor, precum și informații statistice de utilizare la nivel înalt pentru a îmbunătăți în cele din urmă performanța generală, fiabilitatea și capacitatea de utilizare a [the app].”
S-a mai spus că elementul de analiză al aplicației LastPass era o caracteristică opțională pe care utilizatorii o puteau dezactiva în setările lor avansate. Dar, indiferent de asta, prezența trackerelor în aplicația LastPass Android a lăsat un gust prost în gura analiștilor și utilizatorilor de securitate.
3. Încălcări LastPass 2022
A durat ceva timp pentru ca LastPass să se confrunte cu un alt atac cibernetic după incidentul inițial din 2015. Dar în 2022, a venit într-adevăr un alt atac. Acesta a fost un an deosebit de dificil pentru LastPass, cu un hack inițial în august provocând valuri de șoc care vor continua până în 2023.
La începutul lunii august 2022, LastPass a aflat că un hacker a compromis laptopul unui dezvoltator LastPass pentru a fura codul sursă și a accesa platforma de dezvoltare bazată pe cloud a companiei. Hackerul a ocolit securitatea de autentificare multifactorială din contul inginerului, autentificându-se cu succes ca utilizator. Deși acesta a fost un incident foarte îngrijorător, hackerul nu a preluat informații despre clienți.
Dar câteva luni mai târziu, lucrurile s-au înrăutățit. În decembrie 2022, LastPass a anunțat că hack-ul din august a oferit atacatorilor o cale către zone mai sensibile ale infrastructurii sale, exploatate pentru prima dată în noiembrie. De această dată, hackerii au accesat datele clienților LastPass, inclusiv adrese de e-mail și IP, numere de telefon și nume. În plus, au fost expuse anumite tipuri de date ale seifului utilizatorilor, inclusiv nume de utilizator și parole stocate pentru conturile online.
Inutil să spun că LastPass era acum în apă foarte fierbinte și lucrurile nu se vor opri în 2023.
Efectele secundare din 2023
Deși 2023 nu a adus niciun hack nou pentru LastPass, a adus din ce în ce mai multe informații neliniștitoare despre exploit-urile din 2022.
În ianuarie 2023, compania-mamă a lui LastPass, GoTo, a lansat o declarație despre consecințele hackurilor din 2022. Declarația GoTo a explicat că mai multe dintre celelalte servicii ale companiei, inclusiv Central, Hamachi, Pro, join.me și RemotelyAnywhere, au fost, de asemenea, vizate de atacatori prin intermediul unui dispozitiv de stocare în cloud terț. De pe acest dispozitiv, atacatorii au furat copii de rezervă criptate. Mai mult, GoTo a dezvăluit că a găsit dovezi care sugerează că a fost accesată și o cheie de criptare pentru unele dintre copiile de rezervă furate.
În februarie 2023, LastPass a apărut din nou în titlurile de știri când a fost dezvăluit că, între primul și al doilea hack-uri din 2022, atacatorii au întreprins mai multe acțiuni rău intenționate.
După cum se documentează în postarea X de mai sus, hackerii din noiembrie 2022 au compromis computerul de acasă al unui dezvoltator LastPass senior printr-o vulnerabilitate media software. După ce au spart computerul, hackerii au instalat un keylogger, permițându-le să vadă ce scria dezvoltatorul pe tastatură.
Acest lucru a oferit atacatorilor acces la parola principală a seifului corporativ LastPass a dezvoltatorului, permițând atacatorilor să acceseze seiful în sine. Ceea ce este șocant aici este că doar patru dezvoltatori seniori LastPass au avut acces la seiful corporativ, iar atacatorii au reușit totuși să vizeze cu succes un astfel de dezvoltator.
Hackerii au folosit, de asemenea, acreditările de utilizator furate în 2022 pentru a fura 4,4 milioane de dolari în criptomonede în octombrie 2023. Se crede că atacatorii au accesat fraze și chei de generare a portofelului cripto în a doua breșă din 2022, permițându-le să pirateze portofele și să retragă criptomonedele dorite. abordare.
LastPass are un lista completă a datelor accesate în hack-urile din 2022 dacă doriți să vedeți tot ce a fost expus din cauza incidentelor din 2022.
Este LastPass în continuare sigur de utilizat?
Deși LastPass este în funcțiune din 2008, majoritatea încălcărilor sale de date și incidentelor de securitate au avut loc în anii 2020. Având în vedere multiplele probleme de securitate din trecut, este firesc să vă simțiți puțin nervoși în legătură cu utilizarea LastPass, deci care este verdictul aici? Este LastPass sigur de utilizat sau ar trebui să optați pentru altceva?
Deși este mai sigur să utilizați LastPass decât o simplă aplicație de note sau o opțiune similară de stocare, s-ar putea să existe manageri de parole mai buni astăzi. Având atâtea nenorociri în dosarul său de securitate, LastPass a devenit o interdicție pentru mulți, deoarece nu se știe când va avea loc o altă încălcare. Având în vedere că 2022 a cauzat atât de multe probleme pentru LastPass și utilizatorii săi, nu este surprinzător faptul că unii utilizatori au renunțat la lansare, optând pentru manageri de parole care nu au fost încă piratați.
Dashlane și NordPass sunt doar două exemple de manageri de parole de mare renume care nu au suferit niciodată o încălcare a securității, așa că este cu siguranță posibil să găsiți un manager de parole care nu a avut datele clienților sau portalurile angajaților expuse hackerilor.
Dacă utilizați în prezent LastPass, dar doriți să vă îndreptați în altă parte, consultați ghidul nostru despre ștergerea contului LastPass. Avem, de asemenea, un ghid la îndemână despre cei mai siguri manageri de parole dacă aveți nevoie de ajutor pentru a alege un înlocuitor.
Cu toate acestea, incidentele de securitate ale LastPass nu îl fac un manager de parole nesigur. Aplicația are încă multe funcții utile pentru protejarea acreditărilor sensibile și este ușor de utilizat, indiferent de cunoștințele tehnice.
LastPass nu este regele managementului parolelor
Nu este nimic greșit în mod inerent în utilizarea LastPass pentru a stoca parole, deoarece aplicația este în general destul de sigură. Cu toate acestea, merită remarcat alternativele super sigure de acolo dacă doriți să vă asigurați că informațiile dvs. sensibile sunt stocate cât mai eficient posibil.