LastPass je dobro znano in zaupanja vredno ime na področju varnosti gesel, toda zaradi njegove zgodovine kršitev boste morda razmislili o alternativi.
Ključni zaključki
- LastPass je v preteklosti doživel več kršitev podatkov, vključno z eno leta 2015, ki je razkrila uporabniška e-poštna sporočila in glavna gesla. Vendar je bila večina uporabnikov, ki so uporabili dodatne varnostne plasti, verjetno varna pred vdorom.
- LastPass se je leta 2021 soočil s kritikami, ko je bilo odkrito, da njihova aplikacija za Android vsebuje sledilnike tretjih oseb, kar je sprožilo pomisleke glede varnosti. LastPass se je odzval z navedbo, da so bili sledilci uporabljeni za telemetrijo aplikacij in bi jih lahko uporabniki onemogočili.
- Leta 2022 je LastPass doživel pomembno kršitev, ko so napadalci dostopali do podatkov o strankah in informacij o uporabniškem trezorju. Ta kršitev je privedla do nadaljnjih posledic za LastPass in njegovo matično podjetje GoTo, vključno z ukradenimi šifriranimi varnostnimi kopijami in dokazi o dostopu do šifrirnega ključa.
- Čeprav LastPass na splošno velja za varnega, so številni uporabniki zaradi številnih vdorov in varnostnih incidentov poiskali alternativne upravitelje gesel, ki niso bili ogroženi.
Mnogi od nas uporabljamo upravitelje gesel za varovanje svojih zasebnih podatkov, pri čemer je LastPass ena najbolj priljubljenih možnosti. Toda LastPass je utrpel pošten delež kršitev podatkov, zaradi česar so ogroženi občutljivi podatki strank.
Torej, kolikokrat je bil LastPass vlomljen in ali je še vedno varen za uporabo?
1. Kršitev LastPass 2015
Prvi vdor v LastPass se je zgodil junija 2015, sedem let po ustanovitvi podjetja. Ta resna kršitev je razkrila e-poštna sporočila in glavna gesla uporabnikov LastPass, pa tudi namige ali besede opomnikov, ki se uporabljajo za zapomnitev glavnih gesel. Vdor je bil opažen, ko je LastPass zaznal sumljivo omrežno dejavnost, ki je bila kmalu blokirana. Nekaj škode pa je bilo že storjeno.
V zdaj poteklo obvestilo strankam (na voljo prek internetnega arhiva), je LastPass obvestil uporabnike, da so tisti, ki uporabljajo dodatne varnostne plasti, kot sta zgoščevanje in soljenje svojih gesel, verjetno varni pred vdorom. Na srečo večina uporabnikov LastPass uporablja te varnostne metode, kar pomeni, da je le majhen del strank imel možnost, da jih to prizadene.
LastPass je tudi izjavil, da ne verjame, da je bil zaradi napada dostopen noben uporabniški račun, vendar je pozval uporabniki, da preverijo svoje e-poštne naslove in obnovijo kateri koli teden ali večkrat uporabljena glavna gesla za povečanje varnost.
Nekaj tednov po vdoru, LastPass je objavil objavo na blogu navaja, da se je njegova varnost od vdora izboljšala, pri čemer je bila narejena vrsta majhnih in velikih sprememb za dodatno zaščito strank. V te spremembe je bila vključena uvedba varnostnih modulov strojne opreme (HSM), ki ščitijo kriptografsko infrastrukturo LastPass.
2. Incident sledenja LastPass 2021
Čeprav leta 2021 v LastPass niso vdrli, je naletel na težave, ko so ugotovili, da njegova aplikacija za Android vsebuje sledilnike tretjih oseb. Februarja 2021 je aplikacija za varnostno analizo z imenom Exodus Privacy razkrila, da je v aplikaciji LastPass za Android našla sedem sledilnikov, kar je med uporabniki sprožilo sum. Varnostni raziskovalec Mike Kuketz je komentiral odkritje v a Objava na spletnem dnevniku Kuketz IT Security, ki navaja, da "je popolnoma izključeno, da bi [oglase in sledilnike] integrirali v aplikacije za upravljanje gesel."
Kuketz je navedel tudi sedem sledilnikov, najdenih v aplikaciji LastPass za Android, ki so vključevali sledilnike iz Google Analytics, Segment in AppsFlyer. Podeljevanje dostopa do marketinško analitičnih platform na ta način je obsodil Kuketz, ki je zapisal, da je pristop LastPass "varnostno izjemno vprašljiv".
Kuketz je poudaril, da je bilo treba aplikacijo LastPass za Android ročno preveriti, da bi ugotovili, ali sledilci aktivno spremljajo uporabnike. Vendar pa je Kuketz opazil, da je samo prisotnost sledilcev slaba praksa za aplikacijo, ki mora dati prednost varnosti.
Kot odgovor na to kritiko, LastPass obveščeni uporabniki da uporablja analitična orodja. LastPass je poudaril, da je bilo to narejeno, da bi dobili vpogled v "telemetrijo aplikacij, podatke o poročanju o napakah in zrušitvah, kot tudi statistične podatke o uporabi na visoki ravni za izboljšanje splošne učinkovitosti, zanesljivosti in uporabnosti [ aplikacija]."
Navedeno je bilo tudi, da je bil analitični element aplikacije LastPass izbirna funkcija, ki so jo lahko uporabniki onemogočili v svojih naprednih nastavitvah. A ne glede na to je prisotnost sledilcev v aplikaciji LastPass za Android pustila slab priokus v ustih varnostnih analitikov in uporabnikov.
3. Kršitve LastPass 2022
Trajalo je nekaj časa, da je LastPass po prvem incidentu leta 2015 naletel na nov kibernetski napad. Toda leta 2022 se je res zgodil nov napad. To je bilo še posebej težko leto za LastPass, saj je prvi vdor v avgustu povzročil udarne valove, ki so se nadaljevali v letu 2023.
V začetku avgusta 2022 je LastPass izvedel za vdor, kjer je heker ogrozil prenosni računalnik razvijalca LastPass, da bi ukradel izvorno kodo in dostopal do razvojne platforme podjetja v oblaku. Heker je zaobšel varnost večfaktorske avtentikacije na inženirjevem računu tako, da se je uspešno avtentifikiral kot uporabnik. Čeprav je bil to zelo zaskrbljujoč dogodek, heker ni pridobil nobenih informacij o strankah.
Toda nekaj mesecev kasneje so se stvari poslabšale. Decembra 2022 je LastPass objavil, da je avgustovski vdor napadalcem omogočil dostop do občutljivejših področij njegove infrastrukture, ki so jih prvič izkoristili novembra. Tokrat, hekerji so dostopali do podatkov strank LastPass, vključno z e-poštnimi in IP naslovi, telefonskimi številkami in imeni. Poleg tega so bile izpostavljene nekatere vrste podatkov o uporabniškem trezorju, vključno s shranjenimi uporabniškimi imeni in gesli za spletne račune.
Ni treba posebej poudarjati, da je bil LastPass zdaj v zelo vročem stanju in stvari se leta 2023 ne bodo ustavile.
Posledice leta 2023
Čeprav leto 2023 ni prineslo novih vdorov za LastPass, je prineslo vedno več vznemirljivih informacij o podvigih leta 2022.
Januarja 2023 je matično podjetje LastPass, GoTo, objavilo izjavo o posledicah vdorov leta 2022. GoTo izjava je pojasnil, da je bilo več drugih storitev podjetja, vključno s Central, Hamachi, Pro, join.me in RemotelyAnywhere, prav tako tarča napadalcev prek naprave za shranjevanje v oblaku tretje osebe. Iz te naprave so napadalci ukradli šifrirane varnostne kopije. Še več, GoTo je razkril, da je našel dokaze, ki kažejo, da je bil dostopan tudi šifrirni ključ za nekatere ukradene varnostne kopije.
Februarja 2023 se je LastPass znova znašel na naslovnicah novic, ko je bilo razkrito, da so med prvim in drugim vdorom leta 2022 napadalci izvedli več zlonamernih dejanj.
Kot je dokumentirano v zgornji objavi X, so hekerji novembra 2022 ogrozil domači računalnik starejšega razvijalca LastPass prek medijske ranljivosti programske opreme. Po vdoru v računalnik so hekerji namestili zapisovalnik tipk, ki jim je omogočil, da vidijo, kaj razvijalec tipka na njihovi tipkovnici.
To je napadalcem omogočilo dostop do razvijalčevega glavnega gesla za korporativni trezor LastPass, kar je napadalcem omogočilo dostop do samega trezorja. Tukaj je šokantno, da so imeli samo štirje starejši razvijalci LastPass dostop do trezorja podjetja, napadalcem pa je vseeno uspelo uspešno ciljati na enega takega razvijalca.
Hekerji so uporabniške poverilnice, ukradene leta 2022, uporabili tudi za krajo 4,4 milijona dolarjev v kriptovaluti oktobra 2023. Domneva se, da so napadalci pri drugem vdoru leta 2022 dostopali do fraz in ključev kripto denarnice, kar jim je omogočilo vdor v denarnice in dvig kriptovalut na želeni naslov.
LastPass ima celoten seznam podatkov, do katerih so dostopali v vdorih 2022 če bi radi videli vse, kar je bilo razkrito zaradi incidentov leta 2022.
Je LastPass še vedno varen za uporabo?
Čeprav je LastPass v uporabi od leta 2008, se je večina kršitev podatkov in varnostnih incidentov zgodila v 2020-ih. Glede na njegove številne pretekle varnostne težave je naravno, da se počutite nekoliko nervozni zaradi uporabe LastPass, kakšna je torej sodba tukaj? Je LastPass varen za uporabo ali bi se morali odločiti za kaj drugega?
Čeprav je varneje uporabljati LastPass kot preprosto aplikacijo za beležke ali podobno možnost shranjevanja, morda danes obstajajo boljši upravitelji gesel. S toliko pomanjkljivostmi v varnostnem zapisu je LastPass za mnoge postal neuporaben, saj se ne ve, kdaj bo prišlo do nove kršitve. Ker je leto 2022 povzročilo toliko težav za LastPass in njegove uporabnike, ni presenetljivo, da so nekateri uporabniki skočili z ladje in se odločili za upravitelje gesel, v katere še ni prišlo do vdora.
Dashlane in NordPass sta samo dva primera zelo uglednih upraviteljev gesel, ki nikoli nista utrpela kršitve varnosti, zato je zagotovo mogoče najti upravitelja gesel, ki mu podatki o strankah ali portali zaposlenih niso bili izpostavljeni hekerji.
Če trenutno uporabljate LastPass, vendar se želite odpraviti drugam, si oglejte naš vodnik na brisanje vašega računa LastPass. Imamo tudi priročen vodnik o najvarnejši upravitelji gesel če potrebujete pomoč pri izbiri zamenjave.
Vendar varnostni incidenti LastPassa ne pomenijo, da je upravitelj gesel nevaren. Aplikacija ima še vedno veliko uporabnih funkcij za zaščito občutljivih poverilnic in je enostavna za uporabo ne glede na tehnično znanje.
LastPass ni kralj upravljanja gesel
Z uporabo LastPass za shranjevanje gesel ni nič narobe, saj je aplikacija na splošno precej varna. Vendar je vredno omeniti super varne alternative, če želite zagotoviti, da so vaši občutljivi podatki shranjeni čim bolj učinkovito.