LastPass to dobrze znana i zaufana nazwa w dziedzinie bezpieczeństwa haseł, ale historia naruszeń może skłonić Cię do rozważenia alternatywy.
Kluczowe dania na wynos
- W przeszłości LastPass doświadczył wielu naruszeń danych, w tym jednego w 2015 r., który ujawnił adresy e-mail użytkowników i hasła główne. Jednak większość użytkowników, którzy zastosowali dodatkowe warstwy zabezpieczeń, prawdopodobnie była zabezpieczona przed naruszeniem.
- LastPass spotkał się z krytyką w 2021 r., kiedy odkryto, że jego aplikacja na Androida zawiera moduły śledzące innych firm, co wzbudziło obawy dotyczące bezpieczeństwa. LastPass odpowiedział, stwierdzając, że moduły śledzące były wykorzystywane do telemetrii aplikacji i użytkownicy mogli je wyłączyć.
- W 2022 r. w LastPass doszło do poważnego naruszenia, podczas którego osoby atakujące uzyskały dostęp do danych klientów i informacji o skarbcu użytkowników. Naruszenie to pociągnęło za sobą dalsze konsekwencje dla LastPass i jego spółki-matki, GoTo, w tym skradzione zaszyfrowane kopie zapasowe i dowody dostępu do klucza szyfrowania.
- Ogólnie rzecz biorąc, chociaż LastPass jest ogólnie uważany za bezpieczny, liczne naruszenia i incydenty związane z bezpieczeństwem skłoniły niektórych użytkowników do poszukiwania alternatywnych menedżerów haseł, które nie zostały naruszone.
Wielu z nas korzysta z menedżerów haseł, aby chronić nasze prywatne dane, a LastPass jest jedną z najpopularniejszych opcji. Jednak LastPass ucierpiał z powodu naruszeń bezpieczeństwa danych, narażając wrażliwe informacje klientów na ryzyko.
Ile razy zhakowano LastPass i czy nadal można go bezpiecznie używać?
1. Naruszenie LastPass 2015
Do pierwszego włamania do LastPass doszło w czerwcu 2015 r., siedem lat po założeniu firmy. To poważne naruszenie ujawniło e-maile i hasła główne użytkowników LastPass, a także wskazówki lub przypomnienia używane do zapamiętywania haseł głównych. Włamanie zostało zauważone, gdy LastPass wykrył podejrzaną aktywność sieciową, która wkrótce została zablokowana. Jednak pewne szkody już zostały wyrządzone.
W wygasła już notatka dla klientów (dostępne w Internet Archive) LastPass poinformował użytkowników, że ci, którzy korzystali z dodatkowych warstw zabezpieczeń, takich jak hashowanie i solenie w swoich hasłach, prawdopodobnie byli bezpieczni przed włamaniem. Na szczęście większość użytkowników LastPass stosuje te metody bezpieczeństwa, co oznacza, że tylko niewielka część klientów była narażona na ryzyko.
LastPass stwierdził również, że nie wierzy, aby w wyniku ataku uzyskano dostęp do jakichkolwiek kont użytkowników, ale nalegał użytkownicy mogli zweryfikować swoje adresy e-mail i odnowić je w dowolnym tygodniu lub wielokrotnie używać haseł głównych w celu wzmocnienia bezpieczeństwo.
Kilka tygodni po włamaniu LastPass opublikował post na blogu stwierdzając, że jego bezpieczeństwo poprawiło się od czasu włamania, w związku z czym wprowadzono szereg małych i dużych zmian w celu dalszej ochrony klientów. Zmiany te obejmowały wprowadzenie sprzętowych modułów bezpieczeństwa (HSM), które chronią infrastrukturę kryptograficzną LastPass.
2. Incydent ze śledzeniem LastPass 2021
Chociaż LastPass nie został zhakowany w 2021 r., napotkał problemy, gdy odkryto, że jego aplikacja na Androida zawierała moduły śledzące innych firm. W lutym 2021 r. aplikacja do analizy bezpieczeństwa o nazwie Exodus Privacy ujawniła, że znalazła siedem modułów śledzących w aplikacji LastPass na Androida, co wzbudziło podejrzenia wśród użytkowników. Badacz bezpieczeństwa Mike Kuketz skomentował odkrycie w: Wpis na blogu Kuketz IT Security, stwierdzając, że „integrowanie [reklam i modułów śledzących] z aplikacjami do zarządzania hasłami jest całkowicie wykluczone”.
Kuketz wymienił także siedem modułów śledzących znalezionych w aplikacji LastPass na Androida, w tym moduły śledzące z Google Analytics, Segment i AppsFlyer. Przyznawanie w ten sposób dostępu do platform analityki marketingowej zostało potępione przez Kuketza, który napisał, że podejście LastPass jest „wyjątkowo wątpliwe z punktu widzenia bezpieczeństwa”.
Kuketz podkreślił, że aplikację LastPass na Androida należy sprawdzić ręcznie, aby ustalić, czy moduły śledzące aktywnie monitorują użytkowników. Jednak Kuketz zauważył, że sama obecność modułów śledzących jest złą praktyką w przypadku aplikacji, dla której bezpieczeństwo musi być traktowane priorytetowo.
W odpowiedzi na tę krytykę m.in. LastPass poinformował użytkowników że korzysta z narzędzi analitycznych. LastPass podkreślił, że zrobiono to, aby uzyskać wgląd w „telemetrię aplikacji, dane raportowania błędów i awarii, a także informacje statystyczne dotyczące wysokiego poziomu użytkowania, aby ostatecznie poprawić ogólną wydajność, niezawodność i użyteczność [the aplikacja].”
Stwierdzono również, że element analityczny aplikacji LastPass jest funkcją opcjonalną, którą użytkownicy mogą wyłączyć w swoich ustawieniach zaawansowanych. Ale niezależnie od tego obecność modułów śledzących w aplikacji LastPass na Androida pozostawiła niesmak w ustach analityków bezpieczeństwa i użytkowników.
3. Naruszenia LastPass 2022
Po pierwszym incydencie z 2015 roku minęło trochę czasu, zanim LastPass natrafił na kolejny cyberatak. Ale w 2022 r. rzeczywiście nastąpił kolejny atak. To był szczególnie trudny rok dla LastPass, a pierwszy hack w sierpniu spowodował falę uderzeniową, która będzie trwać do 2023 roku.
Na początku sierpnia 2022 r. firma LastPass dowiedziała się o naruszeniu, w ramach którego haker włamał się do laptopa programisty LastPass w celu kradzieży kodu źródłowego i uzyskania dostępu do opartej na chmurze platformy programistycznej firmy. Haker ominął zabezpieczenia uwierzytelniania wielopoziomowego na koncie inżyniera, pomyślnie uwierzytelniając się jako użytkownik. Chociaż był to bardzo niepokojący incydent, haker nie uzyskał żadnych informacji o kliencie.
Ale kilka miesięcy później sytuacja się pogorszyła. W grudniu 2022 r. firma LastPass ogłosiła, że sierpniowy hack umożliwił atakującym przedostanie się do bardziej wrażliwych obszarów jej infrastruktury, wykorzystanych po raz pierwszy w listopadzie. Tym razem, hakerzy uzyskali dostęp do danych klientów LastPass, w tym adresy e-mail i IP, numery telefonów i nazwiska. Ponadto ujawniono określone rodzaje danych w skarbcu użytkowników, w tym przechowywane nazwy użytkowników i hasła do kont online.
Nie trzeba dodawać, że LastPass znalazł się teraz w bardzo gorącej sytuacji i sprawy nie zatrzymają się w 2023 roku.
Skutki 2023 roku
Chociaż rok 2023 nie przyniósł żadnych nowych hacków dla LastPass, przyniósł coraz więcej niepokojących informacji na temat exploitów z roku 2022.
W styczniu 2023 r. firma matka LastPass, GoTo, wydała oświadczenie na temat konsekwencji hacków z 2022 r. Oświadczenie GoTo wyjaśnił, że kilka innych usług firmy, w tym Central, Hamachi, Pro, Join.me i RemotelyAnywhere, również stało się celem atakujących za pośrednictwem zewnętrznego urządzenia do przechowywania danych w chmurze. Z tego urządzenia napastnicy ukradli zaszyfrowane kopie zapasowe. Co więcej, GoTo ujawniło, że znalazło dowody sugerujące, że uzyskano dostęp do klucza szyfrowania niektórych skradzionych kopii zapasowych.
W lutym 2023 r. LastPass ponownie znalazł się na pierwszych stronach gazet, gdy ujawniono, że pomiędzy pierwszym a drugim włamaniem w 2022 r. napastnicy podjęli więcej złośliwych działań.
Jak udokumentowano w poście X powyżej, hakerzy z listopada 2022 r naruszył komputer domowy starszego programisty LastPass poprzez lukę w zabezpieczeniach nośnika oprogramowania. Po zhakowaniu komputera hakerzy zainstalowali keylogger, umożliwiający im sprawdzenie, co programista pisze na klawiaturze.
Dało to atakującym dostęp do hasła głównego skarbca korporacyjnego LastPass programisty, umożliwiając atakującym dostęp do samego skarbca. Szokujące jest to, że tylko czterech starszych programistów LastPass miało dostęp do skarbca korporacyjnego, a atakującym udało się z powodzeniem zaatakować jednego takiego programistę.
Hakerzy wykorzystali także dane uwierzytelniające użytkownika skradzione w 2022 r., aby w październiku 2023 r. ukraść kryptowalutę o wartości 4,4 mln dolarów. Uważa się, że napastnicy uzyskali dostęp do fraz i kluczy początkowych portfeli kryptograficznych podczas drugiego naruszenia w 2022 r., co pozwoliło im włamać się do portfeli i wypłacić kryptowaluty pod wybrany adres.
LastPass ma pełna lista danych, do których uzyskano dostęp podczas hacków z 2022 r jeśli chcesz zobaczyć wszystko, co zostało ujawnione w wyniku incydentów w 2022 roku.
Czy korzystanie z LastPass jest nadal bezpieczne?
Chociaż LastPass działa od 2008 roku, większość naruszeń danych i incydentów związanych z bezpieczeństwem miała miejsce w latach dwudziestych XXI wieku. Biorąc pod uwagę liczne problemy z bezpieczeństwem w przeszłości, naturalne jest, że czujesz się trochę zdenerwowany korzystaniem z LastPass, więc jaki jest tutaj werdykt? Czy korzystanie z LastPass jest bezpieczne, czy też powinieneś wybrać coś innego?
Chociaż korzystanie z LastPass jest bezpieczniejsze niż prosta aplikacja do notatek lub podobna opcja przechowywania, obecnie mogą być lepsze menedżery haseł. Przy tak wielu plagach w historii bezpieczeństwa LastPass stał się dla wielu nie do przyjęcia, ponieważ nie wiadomo, kiedy nastąpi kolejne naruszenie. Ponieważ rok 2022 powoduje tak wiele problemów dla LastPass i jego użytkowników, nic dziwnego, że niektórzy użytkownicy wskoczyli na statek, wybierając menedżery haseł, które nie zostały jeszcze zhakowane.
Dashlane i NordPass to tylko dwa przykłady cieszących się dobrą reputacją menedżerów haseł, które nigdy nie doświadczyły naruszenia bezpieczeństwa, więc z pewnością można znaleźć menedżera haseł, który nie narażał danych klientów ani portali pracowników hakerzy.
Jeśli obecnie korzystasz z LastPass, ale chcesz udać się gdzie indziej, zapoznaj się z naszym przewodnikiem na temat usunięcie konta LastPass. Mamy także przydatny przewodnik po najbezpieczniejsze menedżery haseł jeśli potrzebujesz pomocy w wyborze zamiennika.
Jednak incydenty związane z bezpieczeństwem LastPass nie czynią go niebezpiecznym menedżerem haseł. Aplikacja nadal ma wiele przydatnych funkcji do ochrony poufnych danych uwierzytelniających i jest łatwa w użyciu niezależnie od znajomości technologii.
LastPass nie jest królem zarządzania hasłami
Nie ma nic złego w używaniu LastPass do przechowywania haseł, ponieważ aplikacja jest ogólnie całkiem bezpieczna. Jeśli jednak chcesz mieć pewność, że Twoje wrażliwe informacje będą przechowywane tak skutecznie, jak to możliwe, warto zwrócić uwagę na dostępne super bezpieczne alternatywy.