LastPass е добре известно и надеждно име в областта на сигурността на паролите, но неговата история на пробиви може да ви накара да помислите за алтернатива.
Ключови изводи
- LastPass е претърпял множество пробиви на данни в миналото, включително един през 2015 г., който разкри потребителски имейли и главни пароли. Въпреки това, по-голямата част от потребителите, които са използвали допълнителни слоеве за сигурност, вероятно са били в безопасност от пробива.
- LastPass беше изправен пред критики през 2021 г., когато беше открито, че тяхното приложение за Android съдържа тракери на трети страни, което поражда опасения относно сигурността. LastPass отговори, като заяви, че тракерите са използвани за телеметрия на приложения и могат да бъдат деактивирани от потребителите.
- LastPass претърпя значителен пробив през 2022 г., когато нападателите получиха достъп до клиентски данни и информация за потребителски трезор. Това нарушение доведе до допълнителни последствия за LastPass и неговата компания майка, GoTo, включително откраднати криптирани резервни копия и доказателства за достъп до ключ за криптиране.
- Като цяло, докато LastPass като цяло се счита за безопасен, множеството пробиви и инциденти със сигурността накараха някои потребители да търсят алтернативни мениджъри на пароли, които не са били компрометирани.
Много от нас използват мениджъри на пароли, за да пазят личните си данни в безопасност, като LastPass е една от най-популярните опции там. Но LastPass претърпя своя справедлив дял от нарушения на данните, излагайки на риск чувствителната информация на клиентите.
И така, колко пъти LastPass е бил хакнат и все още ли е безопасен за използване?
1. Пробив в LastPass 2015
Първият хак на LastPass се случи през юни 2015 г., седем години след основаването на компанията. Това сериозно нарушение разкри имейлите и главните пароли на потребителите на LastPass, както и подсказките или напомнящите думи, използвани за запомняне на главните пароли. Хакът беше забелязан, когато LastPass засече подозрителна мрежова активност, която скоро беше блокирана. Някои щети обаче вече бяха нанесени.
В вече изтекла бележка за клиентите (достъпен чрез интернет архива), LastPass информира потребителите, че тези, които са използвали допълнителни слоеве за сигурност като хеширане и осоляване на паролите си, вероятно са защитени от хакването. За щастие, по-голямата част от потребителите на LastPass използват тези методи за сигурност, което означава, че само малка част от клиентите са имали шанса да бъдат засегнати.
LastPass също така заяви, че не смята, че има достъп до потребителски акаунти поради атаката, но призова потребителите да потвърдят своите имейл адреси и да подновят всяка седмица или многократно използвани главни пароли за повишаване сигурност.
Няколко седмици след хакването, LastPass публикува публикация в блог заявявайки, че сигурността му се е подобрила след хакването, с набор от малки и големи промени, направени за допълнителна защита на клиентите. В тези промени беше включено въвеждането на хардуерни модули за сигурност (HSM), които защитават криптографската инфраструктура на LastPass.
2. Инцидент с проследяване на LastPass 2021
Въпреки че LastPass не беше хакнат през 2021 г., той се натъкна на проблеми, когато беше установено, че приложението му за Android съдържа тракери на трети страни. През февруари 2021 г. приложение за анализ на сигурността, наречено Exodus Privacy, разкри, че е открило седем тракера в приложението LastPass за Android, което предизвика подозрение сред потребителите. Изследователят по сигурността Майк Кукетц коментира откритието в a Публикация в блога на Kuketz IT Security, заявявайки, че "е напълно изключено да се интегрират [реклами и тракери] в приложения за управление на пароли."
Kuketz също изброи седемте тракера, намерени в приложението LastPass за Android, което включва тракери от Google Analytics, Segment и AppsFlyer. Предоставянето на достъп до платформи за маркетингови анализи по този начин беше осъдено от Kuketz, който написа, че подходът на LastPass е „изключително съмнителен по отношение на сигурността“.
Кукетц подчерта, че приложението LastPass за Android трябва да бъде проверено ръчно, за да се установи дали тракерите активно следят потребителите. Самото присъствие на тракерите обаче беше отбелязано от Kuketz като лоша практика за приложение, което трябва да даде приоритет на сигурността.
В отговор на тази критика, LastPass информирани потребители че използва инструменти за анализ. LastPass подчерта, че това е направено, за да се получи информация за „телеметрията на приложенията, данните за докладване на грешки и сривове, както и статистическа информация за използването на високо ниво, за да се подобри в крайна сметка цялостната производителност, надеждността и използваемостта на [ приложение]."
Също така беше посочено, че елементът за анализ на приложението LastPass е незадължителна функция, която потребителите могат да деактивират в своите разширени настройки. Но независимо от това, наличието на тракери в приложението LastPass за Android остави лош вкус в устата на анализаторите и потребителите по сигурността.
3. Пробиви в LastPass 2022
Отне известно време на LastPass да се натъкне на друга кибератака след първоначалния инцидент от 2015 г. Но през 2022 г. наистина дойде друга атака. Това беше особено трудна година за LastPass, с първоначален хак през август, който предизвика шокови вълни, които ще продължат през 2023 г.
В началото на август 2022 г. LastPass разбра за пробив, при който хакер е компрометирал лаптопа на разработчик на LastPass, за да открадне изходния код и да получи достъп до облачно базираната платформа за разработка на компанията. Хакерът е заобиколил сигурността на многофакторното удостоверяване на акаунта на инженера, като успешно се е удостоверил като потребител. Въпреки че това беше много тревожен инцидент, хакерът не извлече информация за клиента.
Но няколко месеца по-късно нещата се влошиха. През декември 2022 г. LastPass обяви, че хакването през август е дало на нападателите път към по-чувствителни зони от неговата инфраструктура, експлоатирани за първи път през ноември. Този път, хакери са получили достъп до клиентските данни на LastPass, включително имейл и IP адреси, телефонни номера и имена. Освен това бяха разкрити определени видове данни от потребителски сейфове, включително съхранени потребителски имена и пароли за онлайн акаунти.
Излишно е да казвам, че LastPass сега беше в много гореща вода и нещата нямаше да спрат през 2023 г.
Последиците от 2023 г
Въпреки че 2023 г. не донесе нови хакове за LastPass, тя донесе все повече и повече обезпокоителна информация за експлойтите на 2022 г.
През януари 2023 г. компанията майка на LastPass, GoTo, публикува изявление за последствията от хаковете през 2022 г. Изявлението на GoTo обясни, че няколко от другите услуги на компанията, включително Central, Hamachi, Pro, join.me и RemotelyAnywhere, също са били атакувани от нападатели чрез устройство за съхранение в облак на трета страна. От това устройство нападателите са откраднали криптирани резервни копия. Нещо повече, GoTo разкри, че е намерил доказателства, които предполагат, че е имало достъп до ключ за криптиране за някои от откраднатите резервни копия.
През февруари 2023 г. LastPass отново се озова в заглавията на новините, когато беше разкрито, че между първото и второто хакване през 2022 г. са били предприети повече злонамерени действия от нападатели.
Както е документирано в публикацията X по-горе, хакерите от ноември 2022 г компрометира домашния компютър на старши разработчик на LastPass чрез софтуерна медийна уязвимост. След като хакнаха компютъра, хакерите инсталираха кийлогър, който им позволява да видят какво пише разработчикът на клавиатурата им.
Това даде на нападателите достъп до главната парола на LastPass на разработчика на корпоративния трезор, което позволява на нападателите да имат достъп до самия трезор. Шокиращото тук е, че само четирима старши разработчици на LastPass имаха достъп до корпоративния трезор и нападателите все пак успяха успешно да се насочат към един такъв разработчик.
Хакерите също са използвали потребителските идентификационни данни, откраднати през 2022 г., за да откраднат 4,4 милиона долара в криптовалута през октомври 2023 г. Смята се, че нападателите са получили достъп до началните фрази и ключове на крипто портфейла при втория пробив през 2022 г., което им е позволило да хакнат портфейли и да изтеглят крипто до желания от тях адрес.
LastPass има a пълен списък на данните, достъпни при хаковете за 2022 г ако искате да видите всичко, което беше изложено поради инцидентите от 2022 г.
Все още ли е безопасен за използване LastPass?
Въпреки че LastPass е в експлоатация от 2008 г., повечето от неговите пробиви на данни и инциденти със сигурността са настъпили през 2020-те години. Като се имат предвид многобройните минали проблеми със сигурността, естествено е да се чувствате малко нервни относно използването на LastPass, така че каква е присъдата тук? Безопасен ли е за използване LastPass или трябва да изберете нещо друго?
Въпреки че е по-безопасно да използвате LastPass, отколкото обикновено приложение за бележки или подобна опция за съхранение, днес може да има по-добри мениджъри на пароли. С толкова много проблеми в сигурността си, LastPass се превърна в забранен за мнозина, тъй като не се знае кога ще се случи друг пробив. Тъй като 2022 г. причини толкова много проблеми на LastPass и неговите потребители, не е изненадващо, че някои потребители се отказаха, избирайки мениджъри на пароли, които все още не са били хакнати.
Dashlane и NordPass са само два примера за мениджъри на пароли с висока репутация, които никога не са претърпели пробив в сигурността, така че със сигурност е възможно да намерите мениджър на пароли, чиито клиентски данни или портали за служители не са били изложени на хакери.
Ако в момента използвате LastPass, но искате да се насочите другаде, вижте нашето ръководство за изтриване на вашия акаунт в LastPass. Имаме и удобно ръководство за най-безопасните мениджъри на пароли ако имате нужда от помощ при избора на заместител.
Инцидентите със сигурността на LastPass обаче не го правят опасен мениджър на пароли. Приложението все още има много полезни функции за защита на чувствителни идентификационни данни и е лесно за използване, независимо от техническите познания.
LastPass не е кралят на управлението на пароли
Няма нищо лошо по същество в използването на LastPass за съхраняване на пароли, тъй като приложението като цяло е доста безопасно. Струва си обаче да се отбележат супер сигурните алтернативи, ако искате да сте сигурни, че вашата чувствителна информация се съхранява възможно най-ефективно.
