LastPass ir labi zināms un uzticams nosaukums paroles drošībā, taču tā pārkāpumu vēsture var likt jums apsvērt alternatīvu.

Key Takeaways

  • LastPass pagātnē ir piedzīvojis vairākus datu pārkāpumus, tostarp vienu 2015. gadā, kad tika atklāti lietotāju e-pasta ziņojumi un galvenās paroles. Tomēr lielākā daļa lietotāju, kuri izmantoja papildu drošības slāņus, visticamāk, bija pasargāti no pārkāpuma.
  • LastPass saskārās ar kritiku 2021. gadā, kad tika atklāts, ka viņu Android lietotnē ir trešās puses izsekotāji, radot bažas par drošību. LastPass atbildēja, norādot, ka izsekotāji tika izmantoti lietojumprogrammu telemetrijai un lietotāji tos var atspējot.
  • LastPass 2022. gadā piedzīvoja būtisku pārkāpumu, kad uzbrucēji piekļuva klientu datiem un lietotāja glabātuves informācijai. Šis pārkāpums radīja papildu sekas LastPass un tā mātes uzņēmumam GoTo, tostarp nozagtas šifrētas dublējumkopijas un pierādījumus par piekļūtu šifrēšanas atslēgu.
  • Kopumā, lai gan LastPass parasti tiek uzskatīts par drošu, vairāki pārkāpumi un drošības incidenti ir likuši dažiem lietotājiem meklēt alternatīvus paroļu pārvaldniekus, kas nav apdraudēti.

Daudzi no mums izmanto paroļu pārvaldniekus, lai aizsargātu savus privātos datus, un LastPass ir viena no populārākajām iespējām. Taču LastPass ir cietis no datu pārkāpumiem, pakļaujot riskam klientu sensitīvo informāciju.

Tātad, cik reižu LastPass ir uzlauzts, un vai to joprojām ir droši lietot?

1. LastPass 2015 pārkāpums

Attēla autors: Ervīns Strauhmanis/Flickr

Pirmā LastPass uzlaušana notika 2015. gada jūnijā, septiņus gadus pēc uzņēmuma dibināšanas. Šis nopietnais pārkāpums atklāja LastPass lietotāju e-pastus un galvenās paroles, kā arī mājienu vai atgādinājuma vārdus, kas tika izmantoti, lai atcerētos galvenās paroles. Uzlaušana tika pamanīta, kad LastPass atklāja aizdomīgu tīkla darbību, kas drīz tika bloķēta. Tomēr daži zaudējumi jau bija nodarīti.

Iekšā piezīme klientiem, kam beidzies derīguma termiņš (pieejams, izmantojot interneta arhīvu), LastPass informēja lietotājus, ka tie, kuri izmantoja papildu drošības slāņus, piemēram, paroļu jaukšanu un sālīšanu, visticamāk, ir pasargāti no uzlaušanas. Par laimi, lielākā daļa LastPass lietotāju izmanto šīs drošības metodes, kas nozīmē, ka tikai nelielai daļai klientu bija iespēja tikt ietekmētiem.

LastPass arī paziņoja, ka neuzskata, ka uzbrukuma dēļ ir piekļūts nevienam lietotāja kontiem, taču mudināja lietotājiem verificēt savas e-pasta adreses un atjaunot katru nedēļu vai atkārtoti izmantotās galvenās paroles, lai uzlabotu drošību.

Dažas nedēļas pēc uzlaušanas, LastPass publicēja emuāra ziņu norādot, ka kopš uzlaušanas tā drošība ir uzlabojusies, veicot virkni mazu un lielu izmaiņu, lai vēl vairāk aizsargātu klientus. Šajās izmaiņās bija iekļauta aparatūras drošības moduļu (HSM) ieviešana, kas aizsargā LastPass kriptogrāfijas infrastruktūru.

2. LastPass 2021 izsekošanas incidents

Lai gan LastPass netika uzlauzts 2021. gadā, tajā radās problēmas, kad tika konstatēts, ka tās Android lietotnē ir trešās puses izsekotāji. 2021. gada februārī drošības analīzes lietotne ar nosaukumu Exodus Privacy atklāja, ka Android lietotnē LastPass ir atradusi septiņus izsekotājus, izraisot lietotāju aizdomas. Drošības pētnieks Maiks Kukets komentēja atklājumu a Kuketz IT Security emuāra ieraksts, norādot, ka "ir pilnīgi izslēgts [reklāmu un izsekotāju] integrēšana paroļu pārvaldnieka lietotnēs."

Kuketz arī uzskaitīja septiņus izsekotājus, kas atrasti Android lietotnē LastPass, tostarp Google Analytics, Segment un AppsFlyer izsekotājus. Piekļuves piešķiršanu mārketinga analīzes platformām šādā veidā nosodīja Kukets, kurš rakstīja, ka LastPass pieeja ir "ārkārtīgi apšaubāma drošības ziņā".

Kuketz uzsvēra, ka Android lietotne LastPass ir jāpārbauda manuāli, lai noteiktu, vai izsekotāji aktīvi seko līdzi lietotājiem. Tomēr Kuketz atzīmēja, ka tikai izsekotāju klātbūtne ir slikta prakse lietotnei, kurai par prioritāti jānosaka drošība.

Atbildot uz šo kritiku, LastPass informēja lietotājus ka tas izmanto analītikas rīkus. LastPass uzsvēra, ka tas tika darīts, lai gūtu ieskatu "lietojumprogrammu telemetrijas, kļūdu un avāriju ziņošanas datos, kā arī augsta līmeņa lietošanas statistikas informācija, lai galu galā uzlabotu [ lietotne]."

Tika arī norādīts, ka lietotnes LastPass analītikas elements bija izvēles funkcija, ko lietotāji varēja atspējot savos papildu iestatījumos. Bet neatkarīgi no tā, izsekotāju klātbūtne Android lietotnē LastPass atstāja sliktu garšu drošības analītiķu un lietotāju mutē.

3. LastPass 2022 pārkāpumi

Pagāja zināms laiks, līdz LastPass pēc sākotnējā 2015. gada incidenta nonāca citā kiberuzbrukumā. Taču 2022. gadā patiešām notika vēl viens uzbrukums. Šis bija īpaši grūts gads uzņēmumam LastPass, sākotnējais uzlauzums augustā izraisīja triecienviļņus, kas turpināsies arī 2023. gadā.

2022. gada augusta sākumā LastPass uzzināja par pārkāpumu, kad hakeris bija uzlauzis LastPass izstrādātāja klēpjdatoru, lai nozagtu pirmkodu un piekļūtu uzņēmuma mākoņdatošanas platformai. Hakeris apiet daudzfaktoru autentifikācijas drošību inženiera kontā, veiksmīgi autentificējot sevi kā lietotāju. Lai gan šis bija ļoti satraucošs incidents, hakeris neizguva klientu informāciju.

Bet pēc dažiem mēnešiem viss pasliktinājās. 2022. gada decembrī LastPass paziņoja, ka augusta uzlaušana ir devusi uzbrucējiem ceļu uz jutīgākām tās infrastruktūras vietām, kas pirmo reizi tika izmantota novembrī. Šoreiz, hakeri piekļuva LastPass klientu datiem, tostarp e-pasta un IP adreses, tālruņu numuri un vārdi. Turklāt tika atklāti noteikta veida lietotāju glabātuves dati, tostarp tiešsaistes kontu saglabātie lietotājvārdi un paroles.

Lieki piebilst, ka LastPass tagad bija ļoti karstā ūdenī, un lietas neapstāsies 2023. gadā.

2023. gada sekas

Lai gan 2023. gads LastPass nedeva nekādus jaunus ievainojumus, tas tomēr sniedza arvien vairāk satraucošu informāciju par 2022. gada varoņdarbiem.

2023. gada janvārī LastPass mātes uzņēmums GoTo izplatīja paziņojumu par 2022. gada uzlaušanas sekām. GoTo paziņojums paskaidroja, ka uzbrucēju mērķis bija arī vairāki citi uzņēmuma pakalpojumi, tostarp Central, Hamachi, Pro, join.me un RemoteAnywhere, izmantojot trešās puses mākoņa krātuves ierīci. No šīs ierīces uzbrucēji nozaga šifrētus dublējumus. Turklāt GoTo atklāja, ka ir atradis pierādījumus, kas liecina, ka ir piekļūts arī dažu nozagto dublējumu šifrēšanas atslēgai.

2023. gada februārī LastPass atkal nonāca ziņu virsrakstos, kad atklājās, ka starp pirmo un otro 2022. gada uzlaušanu uzbrucēji ir veikuši vairāk ļaunprātīgu darbību.

Kā dokumentēts iepriekš X ziņojumā, 2022. gada novembra hakeri apdraudēja vecākā LastPass izstrādātāja mājas datoru izmantojot programmatūras datu nesēja ievainojamību. Pēc datora uzlaušanas hakeri instalēja taustiņu reģistrētāju, ļaujot viņiem redzēt, ko izstrādātājs raksta uz tastatūras.

Tādējādi uzbrucēji varēja piekļūt izstrādātāja LastPass korporatīvās glabātuves galvenajai parolei, ļaujot uzbrucējiem piekļūt pašai glabātuvei. Šokējoši ir tas, ka tikai četriem LastPass vecākajiem izstrādātājiem bija piekļuve korporatīvajai glabātuvei, un uzbrucējiem joprojām izdevās veiksmīgi mērķēt uz vienu šādu izstrādātāju.

Hakeri arī izmantoja 2022. gadā nozagtos lietotāja akreditācijas datus, lai 2023. gada oktobrī nozagtu kriptovalūtu 4,4 miljonu dolāru vērtībā. Tiek uzskatīts, ka uzbrucēji piekļuva kriptovalūtu maka sākuma frāzēm un atslēgām otrajā 2022. gada pārkāpumā, ļaujot viņiem uzlauzt makus un izņemt kriptovalūtu uz vēlamo adresi.

LastPass ir a pilns to datu saraksts, kuriem piekļūts 2022. gada uzlaušanas laikā ja vēlaties redzēt visu, kas tika atklāts 2022. gada incidentu dēļ.

Vai LastPass joprojām ir droši lietojams?

Lai gan LastPass darbojas kopš 2008. gada, lielākā daļa tā datu pārkāpumu un drošības incidentu ir notikuši 2020. gados. Ņemot vērā daudzās pagātnes drošības problēmas, ir dabiski justies nedaudz satrauktam par LastPass lietošanu, tāpēc kāds šeit ir spriedums? Vai LastPass ir droši lietot, vai arī jums vajadzētu izvēlēties kaut ko citu?

Lai gan ir drošāk izmantot LastPass nekā vienkāršu piezīmju lietotni vai līdzīgu krātuves iespēju, šodien, iespējams, ir labāki paroļu pārvaldnieki. Tā kā LastPass drošības ierakstā ir tik daudz bojājumu, daudziem tas ir kļuvis aizliegts, jo nav zināms, kad notiks vēl viens pārkāpums. Tā kā 2022. gads rada tik daudz problēmu LastPass un tā lietotājiem, nav nekāds pārsteigums, ka daži lietotāji ir pārgājuši, izvēloties paroļu pārvaldniekus, kas vēl nav uzlauzti.

Dashlane un NordPass ir tikai divi ļoti cienījamu paroļu pārvaldnieku piemēri, kuri nekad nav cietuši no drošības pārkāpumiem. tāpēc noteikti ir iespējams atrast paroļu pārvaldnieku, kuram nav bijuši pakļauti klientu dati vai darbinieku portāli hakeri.

Ja pašlaik izmantojat LastPass, bet vēlaties doties citur, skatiet mūsu ceļvedi dzēšot savu LastPass kontu. Mums ir arī ērts ceļvedis par drošākie paroļu pārvaldnieki ja jums nepieciešama palīdzība, izvēloties aizstājēju.

Tomēr LastPass drošības incidenti nepadara to par nedrošu paroļu pārvaldnieku. Lietojumprogrammai joprojām ir daudz noderīgu funkciju, lai aizsargātu sensitīvus akreditācijas datus, un to ir viegli lietot neatkarīgi no tehnoloģiju lietpratības.

LastPass nav paroļu pārvaldības karalis

LastPass izmantošanā paroļu glabāšanai nav nekas nepareizs, jo lietotne parasti ir diezgan droša. Tomēr ir vērts atzīmēt īpaši drošās alternatīvas, ja vēlaties nodrošināt, ka jūsu sensitīvā informācija tiek saglabāta pēc iespējas efektīvāk.