Contents

Ile razy LastPass został zhakowany i czy nadal można z niego bezpiecznie korzystać?

Kluczowe wnioski

Chociaż LastPass doświadczył kilku naruszeń danych na przestrzeni czasu, takich jak znaczący incydent w 2015 roku, który naraził na szwank adresy e-mail użytkowników i podstawowe hasła, ważne jest, aby pamiętać, że ci, którzy wdrożyli dodatkowe środki bezpieczeństwa, mogli uchronić się przed niebezpieczeństwem.

W zeszłym roku LastPass został poddany kontroli po tym, jak dochodzenie ujawniło, że jego aplikacja na Androida zawierała mechanizmy śledzenia stron trzecich, co wywołało wątpliwości co do jej środków bezpieczeństwa. W odpowiedzi na te zarzuty, LastPass zapewnił, że takie trackery były przeznaczone do celów monitorowania wydajności i mogą być dezaktywowane według uznania użytkownika.

W ubiegłym roku firma LastPass doświadczyła poważnego naruszenia bezpieczeństwa, które doprowadziło do nieautoryzowanego dostępu do danych klientów i treści przechowywanych w cyfrowych sejfach użytkowników. W konsekwencji incydent ten ujawnił również zagrożone pliki kopii zapasowych, które były chronione za pomocą szyfrowania oraz dowody sugerujące, że klucze szyfrowania zostały uzyskane w sposób niezgodny z prawem.

W świetle licznych luk w zabezpieczeniach, których doświadczył LastPass w przeszłości, znaczna liczba jego użytkowników zdecydowała się na alternatywne rozwiązania do zarządzania hasłami, które utrzymują nieskazitelną ochronę danych.

LastPass to powszechnie używany menedżer haseł, z którego korzysta wiele osób w celu zabezpieczenia swoich poufnych informacji. Doświadczył jednak kilku incydentów związanych z bezpieczeństwem, które doprowadziły do ujawnienia danych klientów, a tym samym stanowiły zagrożenie dla wrażliwych danych użytkowników.

W świetle ostatnich obaw dotyczących bezpieczeństwa danych, można zastanawiać się nad częstotliwością, z jaką LastPass, popularna usługa zarządzania hasłami, doświadcza cyberataków i czy jej użycie pozostaje bezpieczne.

LastPass 2015 Breach

/pl/images/password-lock-phone.jpg Image Credit: Ervins Strauhmanis/ Flickr

W czerwcu 2015 roku, około siedem lat po założeniu firmy, odkryto poważne naruszenie bezpieczeństwa w LastPass, które naraziło na szwank adresy e-mail i informacje o hasłach głównych bazy użytkowników, wraz z wszelkimi podpowiedziami lub przypomnieniami wykorzystywanymi do celów przypominania. Incydent wyszedł na jaw, gdy firma wykryła nietypową aktywność sieciową, którą niezwłocznie podjęła kroki w celu powstrzymania. Niemniej jednak szkoda została wyrządzona jeszcze przed wykryciem.

W wygasłej notatce do klientów (dostępnej za pośrednictwem Internet Archive), LastPass poinformował użytkowników, że ci, którzy używali dodatkowych warstw zabezpieczeń, takich jak hashowanie i solenie haseł, prawdopodobnie byli bezpieczni przed włamaniem.Na szczęście większość użytkowników LastPass stosuje te metody bezpieczeństwa, co oznacza, że tylko niewielka część klientów miała szansę zostać dotknięta atakiem.

LastPass poinformował, że żadne konto użytkownika nie zostało naruszone w wyniku cyberataku, chociaż zdecydowanie zaleca użytkownikom potwierdzenie swoich adresów e-mail i zresetowanie często używanego hasła głównego w celu zwiększenia bezpieczeństwa.

Kilka tygodni po włamaniu, LastPass opublikował post na blogu , w którym stwierdził, że jego bezpieczeństwo poprawiło się od czasu włamania, wprowadzając szereg małych i dużych zmian w celu dalszej ochrony klientów. Wśród tych zmian znalazło się wprowadzenie sprzętowych modułów bezpieczeństwa (HSM), które chronią infrastrukturę kryptograficzną LastPass.

Incydent śledzenia LastPass 2021

/pl/images/laptop-dark-room.jpg

Chociaż LastPass nie został zhakowany w 2021 roku, napotkał problemy, gdy okazało się, że jego aplikacja na Androida zawierała trackery innych firm. W lutym 2021 r. aplikacja do analizy bezpieczeństwa o nazwie Exodus Privacy ujawniła, że znalazła siedem modułów śledzących w aplikacji LastPass na Androida, co wzbudziło podejrzenia wśród użytkowników. Badacz bezpieczeństwa Mike Kuketz skomentował to odkrycie w poście na blogu Kuketz IT Security , stwierdzając, że “integracja [reklam i modułów śledzących] z aplikacjami do zarządzania hasłami jest całkowicie wykluczona”.

Odkryto, że LastPass, popularny menedżer haseł dla urządzeń mobilnych, zawiera w swojej aplikacji kilka modułów śledzących innych firm. Te trackery zostały zidentyfikowane przez eksperta ds. cyberbezpieczeństwa Andrew Kuketza, który skrytykował tę praktykę jako wysoce podejrzaną w odniesieniu do prywatności użytkowników i ochrony danych. W szczególności trackery wykorzystywane przez LastPass obejmowały te powiązane z Google Analytics, Segment i AppsFlyer. Zdaniem Kuketza przyznanie tak szerokiego dostępu do usług analityki marketingowej stanowiło poważne zagrożenie dla danych osobowych użytkowników i bezpieczeństwa online.

Aby ustalić, czy trackery aplikacji LastPass na Androida stale monitorują aktywność użytkownika, konieczne jest ręczne sprawdzenie oprogramowania. Chociaż samo istnienie tych trackerów może wskazywać na brak priorytetu w zapewnianiu bezpieczeństwa w aplikacji, wymagane jest dalsze badanie w celu potwierdzenia ich aktywnych możliwości śledzenia.

W odpowiedzi na tę krytykę, LastPass poinformował użytkowników , że korzysta z narzędzi analitycznych.LastPass podkreślił, że zostało to zrobione w celu uzyskania wglądu w “telemetrię aplikacji, dane raportowania błędów i awarii, a także informacje statystyczne dotyczące użytkowania na wysokim poziomie, aby ostatecznie “poprawić” ogólną wydajność, niezawodność i użyteczność [aplikacji]”.

Opcjonalny charakter komponentu analitycznego w aplikacji LastPass nie umniejszył negatywnego postrzegania jego włączenia zarówno przez ekspertów ds. bezpieczeństwa, jak i użytkowników końcowych.

Naruszenia LastPass 2022

/pl/images/what-is-formbook-malware-featured-image-2.jpg

LastPass doświadczył kolejnego cyberataku w 2022 roku, który okazał się wyzwaniem i nastąpił po pierwszym naruszeniu w 2015 roku. Wydarzenia z 2022 roku miały znaczące reperkusje, o czym świadczy ciągły wpływ odczuwalny w 2023 roku.

W sierpniu 2022 r. dowiedzieliśmy się, że nieupoważniona osoba uzyskała dostęp do jednego z laptopów naszych programistów, co skutkowało potencjalnym naruszeniem naszego kodu źródłowego i naszej platformy programistycznej opartej na chmurze. Pomimo faktu, że jest to powód do niepokoju, z przyjemnością informujemy, że sprawca nie uzyskał żadnych danych klientów.

Po krótkim okresie względnej stabilności okoliczności ponownie się pogorszyły. W grudniu 2022 r. LastPass ujawnił, że naruszenie bezpieczeństwa, które miało miejsce w sierpniu, zapewniło cyberprzestępcom dostęp do dodatkowych wrażliwych aspektów ich sieci, które zostały początkowo naruszone w listopadzie. Podczas tego kolejnego włamania nieupoważnione osoby uzyskały dostęp do danych osobowych należących do klientów LastPass, obejmujących adresy poczty elektronicznej i protokołu internetowego (IP), a także numery telefonów i nazwiska. Co więcej, ujawniono również pewne kategorie danych zawartych w cyfrowych skarbcach użytkowników, w tym poufne dane logowania używane do uwierzytelniania dostępu do różnych usług online.

Nie ma wątpliwości, że LastPass znajduje się w niepewnej sytuacji, a wydarzenia rozwijają się szybko w 2023 roku i nie wykazują żadnych oznak osłabienia.

The 2023 Aftereffects

Pomimo braku nowych naruszeń w odniesieniu do LastPass w 2023 roku, pojawiły się coraz bardziej niepokojące szczegóły dotyczące incydentów, które miały miejsce w 2022 roku.

W styczniu 2023 r. firma matka LastPass, GoTo, wydała oświadczenie o konsekwencjach włamań z 2022 roku. W oświadczeniu GoTo wyjaśniono, że kilka innych usług firmy, w tym Central, Hamachi, Pro, join.me i RemotelyAnywhere, było również celem ataków za pośrednictwem zewnętrznego urządzenia do przechowywania danych w chmurze. Z tego urządzenia atakujący ukradli zaszyfrowane kopie zapasowe.Co więcej, GoTo ujawniło, że znalazło dowody sugerujące, że uzyskano również dostęp do klucza szyfrowania niektórych skradzionych kopii zapasowych.

W lutym 2023 r. LastPass po raz kolejny trafił na pierwsze strony gazet po ujawnieniu, że w okresie oddzielającym dwa poważne naruszenia w 2022 r. istniały oznaki dodatkowych nikczemnych działań ze strony sprawców.

Zgodnie z informacjami podanymi w poprzedniej wiadomości, poinformowano, że w listopadzie 2022 r. cyberprzestępcy z powodzeniem włamali się do komputera osobistego wysokiego rangą pracownika LastPass, wykorzystując lukę w zabezpieczeniach nośnika oprogramowania. Po tym włamaniu atakujący wdrożyli narzędzie do rejestrowania naciśnięć klawiszy, które pozwoliło im monitorować i rejestrować dane wprowadzane z klawiatury, uzyskując w ten sposób dostęp do poufnych informacji.

Wspomniane naruszenie umożliwiło intruzom uzyskanie dostępu do poufnych informacji przechowywanych w skarbcu korporacyjnym LastPass, który był chroniony hasłem głównym dewelopera. Co niewiarygodne, ujawniono, że tylko cztery osoby spośród starszego zespołu programistów firmy miały uprzywilejowany dostęp do tego krytycznego zasobu, ale nawet przy tak ograniczonej ekspozycji cyberprzestępcy byli w stanie skutecznie spenetrować system i narazić na szwank konto co najmniej jednego programisty.

W 2022 r. cyberprzestępcy wykorzystali naruszone dane logowania z naruszenia danych, aby ukraść aktywa cyfrowe o wartości około 4,4 mln USD poprzez nieautoryzowany dostęp do portfeli kryptowalut przy użyciu skradzionych fraz seed i kluczy prywatnych uzyskanych podczas innego incydentu bezpieczeństwa w tym samym roku.

LastPass ma pełną listę danych, do których uzyskano dostęp w 2022 roku jeśli chcesz zobaczyć wszystko, co zostało ujawnione w wyniku incydentów z 2022 roku.

Czy LastPass jest nadal bezpieczny w użyciu?

Chociaż LastPass utrzymuje swoją obecność jako menedżer haseł od 2008 roku, w ostatnich latach doszło do alarmującej liczby naruszeń danych i luk w zabezpieczeniach. Biorąc pod uwagę historię luk w zabezpieczeniach, nie sposób nie mieć pewnych obaw, zastanawiając się nad bezpieczeństwem korzystania z LastPass. Pozostaje zatem pytanie - czy LastPass jest niezawodną opcją, czy też rozsądniej byłoby zbadać alternatywne rozwiązania?

Chociaż korzystanie z LastPass zapewnia bezpieczniejszą alternatywę w porównaniu do korzystania z podstawowych aplikacji do robienia notatek lub podobnych repozytoriów danych, jest całkiem możliwe, że na rynku istnieją obecnie lepsze rozwiązania do zarządzania hasłami. Niestety, LastPass doświadczył kilku znaczących lapsusów w zakresie cyberbezpieczeństwa, co spowodowało znaczną konsternację wśród jego użytkowników.W związku z tym wiele osób zrezygnowało z tej platformy ze względu na obawy o przyszłe naruszenia bezpieczeństwa, zamiast tego wybierając dostawców o nieskazitelnej historii.

Dashlane i NordPass to przykłady cenionych menedżerów haseł znanych z bezkompromisowych rekordów bezpieczeństwa, co sugeruje, że można zidentyfikować menedżera haseł z nienaruszoną historią w tym zakresie.

Jeśli rozważasz przeniesienie się z LastPass i szukasz alternatywnych opcji, oferujemy pouczający samouczek, który poprowadzi Cię przez proces dezaktywacji konta LastPass. Dodatkowo, dla tych, którzy szukają bezpiecznego menedżera haseł, zapewniamy kompleksowy przegląd najbardziej niezawodnych dostępnych alternatyw.

Chociaż LastPass mógł doświadczyć naruszeń bezpieczeństwa w przeszłości, niekoniecznie czyni to z niego niewiarygodną opcję ochrony haseł. W rzeczywistości aplikacja nadal oferuje wiele cennych funkcji zaprojektowanych w celu łatwego zabezpieczenia poufnych danych logowania, nawet dla tych, którzy nie są zaawansowani technologicznie.

LastPass nie jest królem zarządzania hasłami

Podczas gdy korzystanie z LastPass do przechowywania haseł może być uważane za konwencjonalne podejście, ważne jest, aby przyznać, że na rynku dostępne są bardziej niezawodne i wysoce bezpieczne opcje. Te alternatywne rozwiązania mogą zapewnić dodatkową warstwę ochrony w celu zabezpieczenia poufnych danych.