LastPass ถูกแฮ็กมากี่ครั้งแล้วและยังปลอดภัยต่อการใช้งานหรือไม่?
ประเด็นที่สำคัญ
แม้ว่า LastPass จะประสบกับการละเมิดข้อมูลหลายครั้งในช่วงเวลาหนึ่ง เช่น เหตุการณ์สำคัญในปี 2015 ซึ่งทำให้ที่อยู่อีเมลของผู้ใช้และรหัสผ่านหลักถูกบุกรุก สิ่งสำคัญคือต้องทราบว่าผู้ที่ใช้มาตรการรักษาความปลอดภัยเพิ่มเติมอาจรอดพ้นจากอันตรายได้
เมื่อปีที่แล้ว LastPass อยู่ภายใต้การตรวจสอบอย่างละเอียดหลังจากการสอบสวนพบว่าแอป Android ได้รวมกลไกการติดตามของบุคคลที่สาม ทำให้เกิดข้อสงสัยเกี่ยวกับมาตรการด้านความปลอดภัย เพื่อตอบสนองต่อข้อกล่าวหาเหล่านี้ LastPass ยืนยันว่าเครื่องมือติดตามดังกล่าวมีจุดประสงค์เพื่อวัตถุประสงค์ในการตรวจสอบประสิทธิภาพและสามารถปิดการใช้งานได้ตามดุลยพินิจของผู้ใช้
ปีที่แล้ว LastPass ประสบกับการละเมิดความปลอดภัยอย่างมากซึ่งส่งผลให้มีการเข้าถึงข้อมูลลูกค้าและเนื้อหาที่จัดเก็บไว้ในตู้นิรภัยดิจิทัลของผู้ใช้โดยไม่ได้รับอนุญาต ด้วยเหตุนี้ เหตุการณ์นี้ยังเปิดเผยไฟล์สำรองข้อมูลที่ถูกบุกรุกซึ่งได้รับการป้องกันด้วยการเข้ารหัสและหลักฐานที่บ่งชี้ว่าได้รับคีย์การเข้ารหัสอย่างผิดกฎหมาย
ในแง่ของการล่มสลายด้านความปลอดภัยจำนวนมากที่ LastPass ประสบในอดีต ฐานผู้ใช้จำนวนมากได้เลือกใช้โซลูชั่นการจัดการรหัสผ่านทางเลือกที่รักษาบันทึกการปกป้องข้อมูลที่ไม่มีข้อบกพร่อง
LastPass เป็นเครื่องมือจัดการรหัสผ่านที่ใช้กันอย่างแพร่หลายซึ่งบุคคลจำนวนมากจ้างเพื่อรักษาความปลอดภัยข้อมูลที่เป็นความลับของตน อย่างไรก็ตาม เคยประสบเหตุการณ์ด้านความปลอดภัยหลายครั้งซึ่งส่งผลให้ข้อมูลลูกค้าถูกเปิดเผย และส่งผลให้เกิดความเสี่ยงต่อรายละเอียดที่ละเอียดอ่อนของผู้ใช้
ในแง่ของข้อกังวลล่าสุดเกี่ยวกับความปลอดภัยของข้อมูล เราอาจสงสัยว่า LastPass ซึ่งเป็นบริการจัดการรหัสผ่านยอดนิยมเผชิญกับการโจมตีทางไซเบอร์บ่อยเพียงใด และการใช้งานยังคงปลอดภัยหรือไม่
LastPass 2015 ฝ่าฝืน
เครดิตรูปภาพ: Ervins Strauhmanis/Flickr
ในเดือนมิถุนายน 2558 ประมาณเจ็ดปีหลังจากการก่อตั้ง LastPass ค้นพบการละเมิดความปลอดภัยอย่างรุนแรงซึ่งทำลายที่อยู่อีเมลและข้อมูลรหัสผ่านหลักของฐานผู้ใช้ พร้อมด้วยคำใบ้หรือวลีเตือนใจที่ใช้เพื่อวัตถุประสงค์ในการจดจำ เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อบริษัทตรวจพบกิจกรรมเครือข่ายที่ผิดปกติ ซึ่งบริษัทได้ดำเนินการแก้ไขทันที อย่างไรก็ตาม มีอันตรายเกิดขึ้นก่อนการตรวจจับนี้
ใน บันทึกถึงลูกค้าที่หมดอายุแล้ว (พร้อมใช้งาน ผ่านทาง Internet Archive) LastPass แจ้งผู้ใช้ว่าผู้ที่ใช้ชั้นความปลอดภัยพิเศษ เช่น การแฮชและการใส่รหัสผ่านของตนน่าจะปลอดภัยจากการแฮ็ก โชคดีที่ผู้ใช้ LastPass ส่วนใหญ่ใช้วิธีการรักษาความปลอดภัยเหล่านี้ ซึ่งหมายความว่ามีลูกค้าเพียงส่วนเล็กๆ เท่านั้นที่มีโอกาสได้รับผลกระทบ
LastPass รายงานว่าไม่มีบัญชีผู้ใช้ถูกบุกรุกอันเป็นผลมาจากการโจมตีทางไซเบอร์ แม้ว่าพวกเขาจะแนะนำอย่างยิ่งให้ผู้ใช้ยืนยันที่อยู่อีเมลของตนและรีเซ็ตรหัสผ่านหลักที่ใช้บ่อยเพื่อเพิ่มมาตรการความปลอดภัย
ไม่กี่สัปดาห์หลังจากการแฮ็ก LastPass เผยแพร่โพสต์บนบล็อก โดยระบุว่าความปลอดภัยได้รับการปรับปรุงตั้งแต่การแฮ็ก โดยมีอาร์เรย์ของ มีการเปลี่ยนแปลงทั้งเล็กและใหญ่เพื่อปกป้องลูกค้าต่อไป สิ่งที่รวมอยู่ในการเปลี่ยนแปลงเหล่านี้คือการแนะนำ Hardware Security Modules (HSM) ซึ่งปกป้องโครงสร้างพื้นฐานการเข้ารหัสของ LastPass
เหตุการณ์การติดตาม LastPass 2021
แม้ว่า LastPass จะไม่ถูกแฮ็กในปี 2021 แต่มันก็ประสบปัญหาเมื่อพบว่าแอป Android มีเครื่องมือติดตามของบุคคลที่สาม ในเดือนกุมภาพันธ์ 2021 แอปวิเคราะห์ความปลอดภัยชื่อ Exodus Privacy เปิดเผยว่าพบตัวติดตามเจ็ดตัวในแอป LastPass Android ทำให้เกิดความสงสัยในหมู่ผู้ใช้ นักวิจัยด้านความปลอดภัย Mike Kuketz แสดงความคิดเห็นเกี่ยวกับการค้นพบนี้ใน โพสต์ในบล็อก Kuketz IT Security โดยระบุว่า “มันออกมาหมดแล้ว ของคำถามในการรวม [โฆษณาและเครื่องมือติดตาม] เข้ากับแอปตัวจัดการรหัสผ่าน”
LastPass ผู้จัดการรหัสผ่านยอดนิยมสำหรับอุปกรณ์มือถือ ถูกค้นพบว่ามีเครื่องมือติดตามบุคคลที่สามหลายตัวภายในแอปพลิเคชัน เครื่องมือติดตามเหล่านี้ถูกระบุโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Andrew Kuketz ซึ่งวิพากษ์วิจารณ์การปฏิบัติดังกล่าวว่าเป็นเรื่องที่น่าสงสัยอย่างมากเกี่ยวกับความเป็นส่วนตัวของผู้ใช้และการปกป้องข้อมูล โดยเฉพาะเครื่องมือติดตามที่ใช้โดย LastPass รวมถึงเครื่องมือที่เกี่ยวข้องกับ Google Analytics, Segment และ AppsFlyer ในมุมมองของ Kuketz การอนุญาตให้เข้าถึงบริการวิเคราะห์การตลาดอย่างกว้างขวางดังกล่าวก่อให้เกิดความเสี่ยงที่สำคัญต่อข้อมูลส่วนบุคคลของผู้ใช้และความปลอดภัยออนไลน์
เพื่อตรวจสอบว่าตัวติดตามของแอปพลิเคชัน LastPass Android ติดตามกิจกรรมของผู้ใช้อย่างต่อเนื่องหรือไม่ จำเป็นต้องตรวจสอบซอฟต์แวร์ด้วยตนเอง แม้ว่าการมีอยู่ของตัวติดตามเหล่านี้อาจบ่งบอกถึงการขาดลำดับความสำคัญต่อการรับรองความปลอดภัยในแอปพลิเคชัน แต่จำเป็นต้องมีการตรวจสอบเพิ่มเติมเพื่อยืนยันความสามารถในการติดตามที่ใช้งานอยู่
เพื่อตอบสนองต่อคำวิจารณ์นี้ LastPass แจ้งผู้ใช้ ว่าใช้เครื่องมือวิเคราะห์ LastPass เน้นย้ำว่าการดำเนินการนี้ทำขึ้นเพื่อรับข้อมูลเชิงลึกเกี่ยวกับ “ข้อมูลการรายงานทางไกลของแอปพลิเคชัน ข้อผิดพลาดและข้อขัดข้อง รวมถึงข้อมูลทางสถิติการใช้งานระดับสูง เพื่อปรับปรุงประสิทธิภาพโดยรวม ความน่าเชื่อถือ และการใช้งานของ [แอป] ในท้ายที่สุด ”
ลักษณะทางเลือกขององค์ประกอบการวิเคราะห์ภายในแอปพลิเคชัน LastPass ไม่ได้เบี่ยงเบนจากการรับรู้เชิงลบของการรวมไว้ในทั้งผู้เชี่ยวชาญด้านความปลอดภัยและผู้ใช้ปลายทาง
การละเมิด LastPass 2022
LastPass ประสบกับการโจมตีทางไซเบอร์ตามมาในปี 2565 ซึ่งพิสูจน์แล้วว่าเป็นสิ่งที่ท้าทายและตามมาด้วยการละเมิดครั้งแรกในปี 2558 เหตุการณ์ในปี 2565 มีผลกระทบอย่างสำคัญ ดังที่เห็นได้จากผลกระทบที่เกิดขึ้นอย่างต่อเนื่องตลอดปี 2566
ในเดือนสิงหาคม 2022 เราพบว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงแล็ปท็อปของนักพัฒนาเครื่องหนึ่งของเรา ซึ่งส่งผลให้ซอร์สโค้ดและแพลตฟอร์มการพัฒนาบนระบบคลาวด์ของเราถูกประนีประนอมได้ แม้ว่านี่จะเป็นสาเหตุให้เกิดความกังวล แต่เรายินดีที่จะรายงานว่าผู้กระทำผิดไม่ได้รับข้อมูลลูกค้า
ภายหลังเสถียรภาพสัมพันธ์ช่วงสั้นๆ สถานการณ์ก็ทรุดโทรมลงอีกครั้ง ในเดือนธันวาคมปี 2022 LastPass เปิดเผยว่าการละเมิดความปลอดภัยที่เกิดขึ้นในเดือนสิงหาคมทำให้อาชญากรไซเบอร์สามารถเข้าถึงส่วนที่ละเอียดอ่อนเพิ่มเติมของเครือข่ายของพวกเขา ซึ่งเริ่มถูกบุกรุกในเดือนพฤศจิกายน ในระหว่างการบุกรุกที่ตามมานี้ บุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลส่วนบุคคลที่เป็นของลูกค้าของ LastPass ซึ่งรวมถึงรายละเอียดที่อยู่จดหมายอิเล็กทรอนิกส์และอินเทอร์เน็ตโปรโตคอล (IP) ตลอดจนหมายเลขโทรศัพท์และบันทึกชื่อ นอกจากนี้ ข้อมูลบางประเภทที่อยู่ในห้องนิรภัยดิจิทัลของผู้ใช้ก็ถูกเปิดเผยเช่นกัน รวมถึงข้อมูลการเข้าสู่ระบบที่เป็นความลับที่ใช้เพื่อตรวจสอบสิทธิ์การเข้าถึงบริการออนไลน์ต่างๆ
ไม่ต้องสงสัยเลยว่า LastPass พบว่าตัวเองอยู่ในสถานะที่ไม่มั่นคง โดยมีเหตุการณ์ต่างๆ เกิดขึ้นอย่างรวดเร็วในปี 2023 และไม่มีทีท่าว่าจะบรรเทาลง
ผลที่ตามมาในปี 2023
แม้ว่าจะไม่มีการระบุการละเมิดใหม่ที่เกี่ยวข้องกับ LastPass ในช่วงปี 2023 แต่ก็มีรายละเอียดที่น่าสงสัยมากขึ้นเกี่ยวกับเหตุการณ์ที่เกิดขึ้นในปี 2022
ในเดือนมกราคม 2023 GoTo ซึ่งเป็นบริษัทแม่ของ LastPass ได้ออกแถลงการณ์เกี่ยวกับผลที่ตามมาของการแฮ็กในปี 2022 คำแถลงของ GoTo อธิบายว่าหลาย บริการอื่นๆ ของบริษัท รวมถึง Central, Hamachi, Pro, join.me และ RemotelyAnywhere ก็ตกเป็นเป้าหมายของผู้โจมตีผ่านอุปกรณ์จัดเก็บข้อมูลบนคลาวด์ของบริษัทอื่น ผู้โจมตีขโมยข้อมูลสำรองที่เข้ารหัสจากอุปกรณ์นี้ ยิ่งไปกว่านั้น GoTo ยังเปิดเผยว่าได้พบหลักฐานที่บ่งชี้ว่ามีการเข้าถึงคีย์เข้ารหัสสำหรับข้อมูลสำรองที่ถูกขโมยบางส่วนด้วย
ในเดือนกุมภาพันธ์ปี 2023 LastPass ได้พาดหัวข่าวอีกครั้งหลังจากมีการเปิดเผยว่าในช่วงเวลาที่แยกการละเมิดหลักสองประการในปี 2022 มีข้อบ่งชี้ถึงกิจกรรมที่ชั่วร้ายเพิ่มเติมในส่วนของผู้กระทำผิด
ตามข้อมูลที่ให้ไว้ในข้อความก่อนหน้านี้ มีรายงานว่าในเดือนพฤศจิกายน 2565 อาชญากรไซเบอร์ได้ประสบความสำเร็จในการละเมิดคอมพิวเตอร์ส่วนบุคคลของพนักงานระดับสูงของ LastPass โดยใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในสื่อซอฟต์แวร์ หลังจากการบุกรุกนี้ ผู้โจมตีได้ใช้เครื่องมือบันทึกการกดแป้นพิมพ์ซึ่งช่วยให้พวกเขาตรวจสอบและบันทึกอินพุตของแต่ละบุคคลจากแป้นพิมพ์ ดังนั้นจึงสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
การละเมิดดังกล่าวทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในตู้นิรภัยของบริษัท LastPass ซึ่งได้รับการป้องกันด้วยรหัสผ่านหลักของนักพัฒนา มีการเปิดเผยอย่างน่าเหลือเชื่อว่ามีเพียงสี่คนในทีมพัฒนาอาวุโสของบริษัทเท่านั้นที่สามารถเข้าถึงทรัพยากรที่สำคัญนี้ได้ ถึงแม้ว่าจะมีการเปิดเผยอย่างจำกัด แต่อาชญากรไซเบอร์ก็สามารถเจาะระบบได้อย่างมีประสิทธิภาพและประนีประนอมบัญชีของนักพัฒนาอย่างน้อยหนึ่งคน
ในปี 2565 อาชญากรไซเบอร์ใช้ข้อมูลการเข้าสู่ระบบที่ถูกบุกรุกจากการละเมิดข้อมูลเพื่อขโมยสินทรัพย์ดิจิทัลมูลค่าประมาณ 4.4 ล้านดอลลาร์ผ่านการเข้าถึงกระเป๋าเงินดิจิทัลโดยไม่ได้รับอนุญาต โดยใช้วลีเริ่มต้นและคีย์ส่วนตัวที่ถูกขโมยที่ได้รับระหว่างเหตุการณ์ความปลอดภัยอีกครั้งในปีเดียวกัน
LastPass มี รายการข้อมูลทั้งหมดที่เข้าถึงในการแฮ็กปี 2022 หากคุณ อยากเห็นทุกสิ่งที่ถูกเปิดเผยเนื่องจากเหตุการณ์ปี 2022
LastPass ยังปลอดภัยต่อการใช้งานหรือไม่?
แม้ว่า LastPass จะรักษาสถานะของตนในฐานะผู้จัดการรหัสผ่านมาตั้งแต่ปี 2008 แต่จำนวนที่น่าตกใจของการละเมิดข้อมูลและการรักษาความปลอดภัยก็เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมา เมื่อพิจารณาถึงประวัติความเป็นมาของช่องโหว่แล้ว ก็อดไม่ได้ที่จะเก็บงำความหวาดหวั่นไว้บ้างเมื่อพิจารณาถึงความปลอดภัยของการใช้ LastPass ดังนั้นคำถามยังคงอยู่-LastPass เป็นตัวเลือกที่น่าเชื่อถือหรือไม่ หรือจะระมัดระวังมากกว่าหากสำรวจวิธีแก้ปัญหาอื่น ๆ
แม้ว่าการใช้ LastPass จะมอบทางเลือกที่ปลอดภัยกว่าเมื่อเปรียบเทียบกับการใช้แอปพลิเคชันจดบันทึกพื้นฐานหรือที่เก็บข้อมูลที่คล้ายกัน แต่ก็มีความเป็นไปได้ค่อนข้างมากที่โซลูชันการจัดการรหัสผ่านที่เหนือกว่านั้นมีอยู่ในตลาดในปัจจุบัน น่าเสียใจที่ LastPass ประสบกับความผิดพลาดที่น่าสังเกตหลายประการในแง่ของความปลอดภัยทางไซเบอร์ ซึ่งทำให้เกิดความตกตะลึงอย่างมากในหมู่ผู้ใช้ ด้วยเหตุนี้ บุคคลจำนวนมากจึงละทิ้งแพลตฟอร์มเนื่องจากกังวลเกี่ยวกับการละเมิดความปลอดภัยในอนาคต แทนที่จะเลือกผู้ให้บริการที่มีประวัติที่ไร้ตำหนิ
Dashlane และ NordPass เป็นตัวอย่างที่ชัดเจนของผู้จัดการรหัสผ่านที่ได้รับการยกย่องซึ่งเป็นที่รู้จักในเรื่องบันทึกความปลอดภัยที่ไร้ช่องโหว่ ดังนั้นจึงแนะนำว่าใคร ๆ ก็สามารถระบุตัวจัดการรหัสผ่านที่มีประวัติที่สมบูรณ์ในเรื่องนี้ได้
หากคุณกำลังใคร่ครวญที่จะย้ายจาก LastPass และกำลังมองหาทางเลือกอื่น เราขอเสนอบทช่วยสอนที่ให้ข้อมูลซึ่งจะแนะนำคุณตลอดกระบวนการปิดการใช้งานบัญชี LastPass ของคุณ นอกจากนี้ สำหรับผู้ที่ค้นหาเครื่องมือจัดการรหัสผ่านที่ปลอดภัย เรามีการตรวจสอบทางเลือกที่น่าเชื่อถือที่สุดที่มีอยู่อย่างครอบคลุม
แม้ว่า LastPass อาจเคยประสบกับการละเมิดความปลอดภัยในอดีต แต่ก็ไม่ได้ทำให้มันเป็นตัวเลือกที่ไม่น่าเชื่อถือในการปกป้องรหัสผ่าน ในความเป็นจริง แอปพลิเคชันยังคงนำเสนอฟังก์ชันอันทรงคุณค่ามากมายที่ออกแบบมาเพื่อรักษาความปลอดภัยข้อมูลการเข้าสู่ระบบที่ละเอียดอ่อนได้อย่างง่ายดาย แม้แต่สำหรับผู้ที่ไม่มีความชำนาญทางเทคโนโลยีก็ตาม
LastPass ไม่ใช่ราชาแห่งการจัดการรหัสผ่าน
แม้ว่าการใช้ LastPass สำหรับการจัดเก็บรหัสผ่านอาจถือเป็นวิธีการทั่วไป แต่สิ่งสำคัญคือต้องรับทราบว่ามีตัวเลือกที่แข็งแกร่งและมีความปลอดภัยสูงในตลาด โซลูชันทางเลือกเหล่านี้สามารถเพิ่มการป้องกันอีกชั้นเพื่อปกป้องข้อมูลที่เป็นความลับของตนเอง