Contents

LastPass 已被駭客攻擊多少次,使用是否仍安全?

要點

雖然LastPass 隨著時間的推移遭受了多次資料洩露,例如2015 年發生的一起洩露用戶電子郵件地址和主密碼的重大事件,但值得注意的是,那些實施了額外安全措施的人本來可以免受傷害。

去年,調查顯示 LastPass 的 Android 應用程式納入了第三方追蹤機制,引發了對其安全措施的質疑,LastPass 受到了審查。針對這些指控,LastPass 聲稱此類追蹤器旨在用於效能監控目的,並且可以由用戶自行決定停用。

去年,LastPass 遭受了嚴重的安全違規,導致未經授權存取儲存在用戶數位保險箱中的客戶資料和內容。因此,該事件也暴露了受到加密保護的受損備份文件,並且有證據表明加密金鑰已被非法取得。

鑑於 LastPass 過去曾經歷過多次安全漏洞,相當多的用戶群選擇了替代密碼管理解決方案,以維持完美的資料保護記錄。

LastPass 是一種廣泛使用的密碼管理器,許多人使用它來保護他們的機密資訊。然而,它經歷了多起安全事件,導致客戶資料暴露,從而對用戶的敏感細節帶來風險。

鑑於最近對資料安全的擔憂,人們可能想知道 LastPass(一種流行的密碼管理服務)遭受網路攻擊的頻率以及其使用是否仍然安全。

LastPass 2015 違規

/bc/images/password-lock-phone.jpg 圖片來源:Ervins Strauhmanis/Flickr

2015 年 6 月,即 LastPass 成立大約七年後,LastPass 發現了嚴重的安全漏洞,洩露了其用戶群的電子郵件地址和主密碼信息,以及用於回憶目的的任何提示或提醒短語。當該公司發現異常網路活動時,該事件曝光,並立即採取措施進行遏制。然而,在此次檢測之前,傷害已經造成。

現已過期的客戶說明中(可用LastPass 告訴用戶,那些在密碼上使用哈希和加鹽等額外安全層的用戶可能不會受到駭客攻擊。幸運的是,大多數 LastPass 用戶都採用這些安全方法,這意味著只有一小部分客戶有可能受到影響。

LastPass 報告稱,沒有用戶帳戶因網路攻擊而受到損害,但他們強烈建議用戶確認其電子郵件地址並重設任何常用的主密碼以增加安全措施。

在駭客攻擊幾週後,LastPass 發表了一篇部落格文章 表示,自從駭客攻擊以來,其安全性已得到改善,並提供了一系列為了進一步保護客戶,我們正在做出大大小小的改變。這些變更包括引入硬體安全模組 (HSM),它可以保護 LastPass 的加密基礎設施。

LastPass 2021 追蹤事件

/bc/images/laptop-dark-room.jpg

儘管 LastPass 在 2021 年並未遭到駭客攻擊,但當發現其 Android 應用程式包含第三方追蹤器時,它確實遇到了問題。 2021 年 2 月,一款名為 Exodus Privacy 的安全分析應用程式透露,它在 LastPass Android 應用程式中發現了 7 個追蹤器,引發了用戶的懷疑。安全研究員Mike Kuketz 在Kuketz IT 安全部落格文章 中評論了這一發現,並表示「它已經完全過時了”將[廣告和追蹤器]整合到密碼管理器應用程式中的問題。”

LastPass 是一款受歡迎的行動裝置密碼管理器,人們發現其應用程式包含多個第三方追蹤器。這些追蹤器是由網路安全專家安德魯·庫克茨(Andrew Kuketz)識別的,他批評這種做法在用戶隱私和資料保護方面非常可疑。具體來說,LastPass 使用的追蹤器包括與 Google Analytics、Segment 和 AppsFlyer 相關的追蹤器。庫克茨認為,授予如此廣泛的營銷分析服務存取權限會對用戶的個人資訊和線上安全帶來重大風險。

為了確定 LastPass Android 應用程式的追蹤器是否持續監控使用者活動,有必要手動檢查軟體。雖然這些追蹤器的存在可能表明缺乏確保應用程式安全的優先級,但需要進一步調查以確認其主動追蹤能力。

針對此批評,LastPass 告知用戶它確實使用了分析工具。 LastPass 強調,這樣做是為了深入了解「應用程式遙測、錯誤和崩潰報告數據以及高級使用統計信息,最終提高 [應用程式]的整體性能、可靠性和可用性」。

LastPass 應用程式中分析元件的可選性質並沒有減輕安全專家和最終用戶對其包含的負面看法。

LastPass 2022 違規

/bc/images/what-is-formbook-malware-featured-image-2.jpg

LastPass 在2022 年經歷了隨後的網路攻擊,事實證明,這次攻擊具有挑戰性,並且是在2015 年首次洩露之後。2022 年的事件產生了重大影響,整個2023 年持續受到的影響就證明了這一點。

2022 年 8 月,我們注意到,未經授權的個人存取了我們開發人員的一台筆記型電腦,導致我們的原始碼和基於雲端的開發平台可能受到損害。儘管這令人擔憂,但我們很高興地報告,肇事者沒有獲得任何客戶數據。

在短暫的相對穩定之後,情況再次惡化。 2022 年 12 月,LastPass 披露,8 月發生的安全漏洞使網路犯罪分子能夠存取其網路的其他敏感部分,這些部分最初於 11 月遭到破壞。在隨後的入侵中,未經授權的個人獲得了 LastPass 客戶的個人信息,包括電子郵件和互聯網協議 (IP) 地址詳細信息,以及電話號碼和姓名記錄。此外,使用者數位保險庫中包含的某些類別的資料也被揭露,包括用於驗證對各種線上服務的存取的機密登入憑證。

毫無疑問,LastPass 發現自己處於不穩定的境地,2023 年事件迅速展開,而且沒有任何減弱的跡象。

2023 年的後果

儘管 2023 年沒有發現與 LastPass 有關的新違規行為,但 2022 年發生的事件的細節越來越令人不安。

2023 年 1 月,LastPass 的母公司 GoTo 發布了一份關於 2022 年駭客攻擊後果的聲明。 GoTo 的聲明 如果您’我希望看到因 2022 年事件而曝光的所有內容。

LastPass 仍然可以安全使用嗎?

儘管 LastPass 自 2008 年以來一直保持著密碼管理器的地位,但近年來發生的資料外洩和安全漏洞數量驚人。考慮到其歷史悠久的漏洞歷史,在考慮使用 LastPass 的安全性時,人們不禁會心生一些擔憂。因此,問題仍然存在-LastPass 是一個可靠的選擇,還是探索替代解決方案會更謹慎?

雖然與使用基本筆記應用程式或類似資料儲存庫相比,使用 LastPass 提供了更安全的替代方案,但目前市場上很可能存在更進階的密碼管理解決方案。遺憾的是,LastPass 在網路安全方面經歷了幾次明顯的失誤,這在其用戶群中引起了相當大的恐慌。因此,由於擔心未來的安全漏洞,許多人放棄了該平台,轉而選擇具有良好記錄的提供者。

Dashlane 和 NordPass 是受人尊敬的密碼管理器的典型例子,以其不妥協的安全記錄而聞名,因此表明人們可以識別在這方面具有完整記錄的密碼管理器。

如果您正在考慮從 LastPass 搬遷並尋求其他選擇,我們提供資訊豐富的教學課程,引導您完成停用 LastPass 帳戶的流程。此外,對於那些正在尋找安全密碼管理器的人,我們提供了對可用的最可靠替代方案的全面審查。

儘管 LastPass 過去可能曾經遇到安全漏洞,但這並不一定會使其成為保護密碼的不可靠選擇。事實上,該應用程式繼續提供大量有價值的功能,旨在輕鬆保護敏感的登入訊息,即使對於那些技術不成熟的人來說也是如此。

LastPass 不是密碼管理之王

雖然利用 LastPass 進行密碼儲存可能被認為是一種傳統方法,但重要的是要承認市場上有更強大且高度安全的選項。這些替代解決方案可以提供額外的保護層來保護機密資料。