😊All Things N
Visa efter ämne Windows macOS Linux Android iPhone Spel Artificiell intelligens
😊All Things N

Contents

Hur många gånger har LastPass hackats, och är det fortfarande säkert att använda?

 included in Security Lastpass Password Manager Data Security Hacking
   1533 words   8 minutes 

Viktiga iakttagelser

LastPass har drabbats av flera dataintrång över tid, t.ex. en anmärkningsvärd incident 2015 där användarnas e-postadresser och primära lösenord komprometterades, men det är viktigt att notera att de som införde ytterligare säkerhetsåtgärder kunde ha skonats från skadan.

Förra året hamnade LastPass under lupp efter att en undersökning visat att deras Android-app innehöll spårningsmekanismer från tredje part, vilket ledde till tvivel om deras säkerhetsåtgärder. Som svar på dessa anklagelser hävdade LastPass att sådana spårare var avsedda för prestandaövervakning och kunde avaktiveras efter användarens eget gottfinnande.

Förra året drabbades LastPass av en betydande säkerhetsöverträdelse som resulterade i obehörig åtkomst till kunddata och innehåll som lagrades i användarnas digitala kassaskåp. Följaktligen exponerade denna incident också komprometterade säkerhetskopior som skyddades av kryptering och bevis som tyder på att krypteringsnycklarna hade erhållits olagligt.

Mot bakgrund av de många säkerhetsbrister som LastPass tidigare haft har en betydande del av användarbasen valt alternativa lösningar för lösenordshantering som upprätthåller ett fläckfritt register över dataskydd.

LastPass är en allmänt använd lösenordshanterare som många individer använder för att skydda sin konfidentiella information. Företaget har dock drabbats av flera säkerhetsincidenter som har lett till att kunddata har exponerats och därmed utgör en risk för användarnas känsliga uppgifter.

Mot bakgrund av den senaste tidens oro för datasäkerheten kan man fråga sig hur ofta LastPass, en populär lösenordshanteringstjänst, har utsatts för cyberattacker och om användningen av tjänsten är säker eller inte.

LastPass 2015 Breach

/sv/images/password-lock-phone.jpg Image Credit: Ervins Strauhmanis/ Flickr

I juni 2015, ungefär sju år efter starten, upptäcktes ett allvarligt säkerhetsintrång på LastPass som komprometterade e-postadresserna och huvudlösenordsinformationen för dess användarbas, tillsammans med alla tips- eller påminnelsefraser som används för återkallelseändamål. Incidenten uppdagades när företaget upptäckte ovanlig nätverksaktivitet, som man omedelbart vidtog åtgärder för att begränsa. Skadan hade dock redan inträffat innan detta upptäcktes.

I ett nu utgånget meddelande till kunder (tillgängligt via Internet Archive) informerade LastPass användare om att de som använde extra säkerhetslager som hashing och saltning på sina lösenord troligen var säkra från hacket.Lyckligtvis använder majoriteten av LastPass-användarna dessa säkerhetsmetoder, vilket innebär att endast en liten del av kunderna hade möjlighet att påverkas.

LastPass har rapporterat att inga användarkonton komprometterades till följd av cyberattacken, men de rekommenderar starkt att användare bekräftar sina e-postadresser och återställer alla ofta använda huvudlösenord för ökad säkerhet.

Några veckor efter hackningen publicerade LastPass ett blogginlägg där de uppgav att deras säkerhet hade förbättrats sedan hackningen, med en rad små och stora förändringar som gjorts för att skydda kunderna ytterligare. En av dessa förändringar var införandet av Hardware Security Modules (HSM), som skyddar LastPass kryptografiska infrastruktur.

LastPass 2021 Tracking Incident

/sv/images/laptop-dark-room.jpg

Även om LastPass inte hackades under 2021, stötte de på problem när det visade sig att deras Android-app innehöll spårare från tredje part. I februari 2021 avslöjade en säkerhetsanalysapp vid namn Exodus Privacy att den hade hittat sju spårare i LastPass Android-app, vilket väckte misstankar bland användarna. Säkerhetsforskaren Mike Kuketz kommenterade upptäckten i ett blogginlägg Kuketz IT Security och konstaterade att “det är helt uteslutet att integrera [annonser och trackers] i lösenordshanterarappar.”

LastPass, en populär lösenordshanterare för mobila enheter, har upptäckts inkludera flera spårare från tredje part i sin applikation. Dessa trackers identifierades av cybersäkerhetsexperten Andrew Kuketz, som kritiserade förfarandet för att vara mycket suspekt när det gäller användarnas integritet och dataskydd. De spårare som LastPass använde sig av var bland annat de som var kopplade till Google Analytics, Segment och AppsFlyer. Kuketz anser att en så omfattande tillgång till marknadsanalystjänster innebär betydande risker för användarnas personuppgifter och onlinesäkerhet.

För att avgöra om LastPass Android-applikationens spårare kontinuerligt övervakar användarnas aktiviteter är det nödvändigt att manuellt inspektera programvaran. Även om blotta förekomsten av dessa spårare kan tyda på en bristande prioritering av att säkerställa säkerheten i applikationen, krävs ytterligare undersökningar för att bekräfta deras aktiva spårningsfunktioner.

Som svar på denna kritik informerade LastPass användarna om att de använder analysverktyg.LastPass betonade att detta gjordes för att få insikter i “applikationstelemetri, fel- och kraschrapporteringsdata, samt statistisk information om användning på hög nivå för att i slutändan förbättra [appens] övergripande prestanda, tillförlitlighet och användbarhet.”

Att analyskomponenten i LastPass-applikationen var frivillig gjorde inte att den uppfattades som negativ av både säkerhetsexperter och slutanvändare.

LastPass-intrång 2022

/sv/images/what-is-formbook-malware-featured-image-2.jpg

LastPass utsattes för en cyberattack 2022, som visade sig vara utmanande och följde på ett första intrång 2015. Händelserna under 2022 fick betydande återverkningar, vilket framgår av den pågående påverkan under hela 2023.

I augusti 2022 kom det till vår kännedom att en obehörig person hade fått tillgång till en av våra utvecklares bärbara datorer, vilket resulterade i att vår källkod och vår molnbaserade utvecklingsplattform kunde ha äventyrats. Trots att detta är en anledning till oro är vi glada att kunna rapportera att ingen kunddata erhölls av förövaren.

Efter en kort period av relativ stabilitet försämrades omständigheterna återigen. I december 2022 avslöjade LastPass att det säkerhetsintrång som inträffade i augusti hade gett cyberbrottslingar tillgång till ytterligare känsliga aspekter av deras nätverk, som ursprungligen komprometterades i november. Under detta efterföljande intrång fick obehöriga tillgång till personuppgifter som tillhör kunder hos LastPass, inklusive uppgifter om e-postadresser och IP-adresser (Internet Protocol) samt telefonnummer och namn. Dessutom exponerades vissa kategorier av data som finns i användarnas digitala valv, inklusive konfidentiella inloggningsuppgifter som används för att autentisera åtkomst till olika onlinetjänster.

Det är ingen tvekan om att LastPass befinner sig i en prekär situation, med händelser som utvecklas snabbt under 2023 och som inte visar några tecken på att avta.

Efterverkningarna 2023

Trots att inga nya överträdelser identifierades i samband med LastPass under 2023, framkom det alltmer oroande detaljer om incidenter som ägde rum under 2022.

I januari 2023 publicerade LastPass moderbolag, GoTo, ett uttalande om konsekvenserna av hackningen 2022. GoTos uttalande förklarade att flera av företagets andra tjänster, inklusive Central, Hamachi, Pro, join.me och RemotelyAnywhere, också var måltavlor för angripare via en molnlagringsenhet från tredje part. Från denna enhet stal angriparna krypterade säkerhetskopior.Dessutom avslöjade GoTo att de hade hittat bevis som tyder på att en krypteringsnyckel för några av de stulna säkerhetskopiorna också var åtkomlig.

I februari 2023 skapade LastPass återigen rubriker efter att det avslöjats att det under perioden mellan de två stora intrången under 2022 fanns indikationer på ytterligare brottsliga aktiviteter från förövarnas sida.

I enlighet med informationen i föregående meddelande har det rapporterats att cyberbrottslingar i november 2022 lyckades bryta sig in i persondatorn för en högt rankad anställd på LastPass genom att utnyttja en säkerhetsbrist i mjukvarumediet. Efter detta intrång använde angriparna ett verktyg för loggning av tangenttryckningar som gjorde det möjligt för dem att övervaka och spela in individens inmatning från tangentbordet och därigenom få tillgång till känslig information.

Ovan nämnda intrång gjorde det möjligt för inkräktare att få tillgång till den känsliga information som lagrades i LastPass företagsvalv, som skyddades av utvecklarens huvudlösenord. Otroligt nog har det avslöjats att endast fyra personer i företagets seniora utvecklingsteam hade privilegierad tillgång till denna kritiska resurs, men även med en sådan begränsad exponering kunde cyberbrottslingar effektivt tränga in i systemet och kompromettera kontot för minst en utvecklare.

Under 2022 använde cyberbrottslingar komprometterad inloggningsinformation från ett dataintrång för att stjäla digitala tillgångar till ett värde av cirka 4,4 miljoner dollar genom obehörig åtkomst till kryptovalutaplånböcker med hjälp av stulna seed phrases och privata nycklar som erhållits under en annan säkerhetsincident samma år.

LastPass har en fullständig lista över data som kom åt i 2022-hackningarna om du vill se allt som exponerades på grund av 2022-incidenterna.

Är LastPass fortfarande säkert att använda?

LastPass har varit en lösenordshanterare sedan 2008, men under de senaste åren har ett alarmerande antal dataintrång och säkerhetsbrister inträffat. Med tanke på dess historia av sårbarheter kan man inte låta bli att hysa viss oro när man överväger säkerheten vid användning av LastPass. Frågan kvarstår alltså - är LastPass ett pålitligt alternativ, eller skulle det vara mer klokt att utforska alternativa lösningar?

Även om LastPass är ett säkrare alternativ än vanliga anteckningsapplikationer eller liknande datalager, är det mycket möjligt att det finns bättre lösningar för lösenordshantering på marknaden. Tyvärr har LastPass upplevt flera anmärkningsvärda brister när det gäller cybersäkerhet, vilket har orsakat betydande oro bland dess användarbas.Följaktligen har många individer övergett plattformen på grund av oro för framtida säkerhetsöverträdelser och istället valt leverantörer med en oklanderlig meritlista.

Dashlane och NordPass är exempel på ansedda lösenordshanterare som är kända för sin kompromisslösa säkerhet, vilket tyder på att man kan identifiera en lösenordshanterare med en intakt meritlista i detta avseende.

Om du funderar på att flytta från LastPass och söker alternativ, erbjuder vi en informativ handledning som guidar dig genom processen att inaktivera ditt LastPass-konto. För dem som letar efter en säker lösenordshanterare erbjuder vi dessutom en omfattande granskning av de mest tillförlitliga alternativen som finns tillgängliga.

Även om LastPass kan ha upplevt säkerhetsöverträdelser i det förflutna, behöver det inte nödvändigtvis göra det till ett opålitligt alternativ för att skydda lösenord. Faktum är att applikationen fortsätter att erbjuda en mängd värdefulla funktioner som är utformade för att enkelt säkra känslig inloggningsinformation, även för dem som är tekniskt osofistikerade.

LastPass är inte kungen av lösenordshantering

Att använda LastPass för lösenordslagring kan anses vara en konventionell metod, men det är viktigt att erkänna att det finns mer robusta och mycket säkra alternativ tillgängliga på marknaden. Dessa alternativa lösningar kan ge ett extra lager av skydd för att skydda ens konfidentiella data.

Updated on 2023-11-09
Back | Home