LastPass đã bị hack bao nhiêu lần và liệu nó có an toàn khi sử dụng không?
Bài học chính
Mặc dù LastPass đã gặp phải một số vụ vi phạm dữ liệu theo thời gian, chẳng hạn như một sự cố đáng chú ý vào năm 2015 làm xâm phạm địa chỉ email và mật khẩu chính của người dùng, nhưng điều quan trọng cần lưu ý là những người thực hiện các biện pháp bảo mật bổ sung có thể không bị tổn hại.
Năm ngoái, LastPass đã bị giám sát chặt chẽ sau khi một cuộc điều tra tiết lộ rằng ứng dụng Android của họ kết hợp các cơ chế theo dõi của bên thứ ba, làm dấy lên nghi ngờ về các biện pháp an toàn của họ. Đáp lại những cáo buộc này, LastPass khẳng định rằng những trình theo dõi như vậy nhằm mục đích giám sát hiệu suất và có thể bị vô hiệu hóa theo quyết định của người dùng.
Năm ngoái, LastPass đã phải chịu một vi phạm bảo mật nghiêm trọng dẫn đến việc truy cập trái phép vào dữ liệu khách hàng và nội dung được lưu trữ trong két kỹ thuật số của người dùng. Do đó, sự cố này cũng làm lộ các tệp sao lưu bị xâm phạm được bảo vệ bằng mã hóa và bằng chứng cho thấy khóa mã hóa đã bị lấy một cách bất hợp pháp.
Do có nhiều sai sót về bảo mật mà LastPass gặp phải trong quá khứ, một số lượng đáng kể cơ sở người dùng của nó đã chọn các giải pháp quản lý mật khẩu thay thế để duy trì hồ sơ bảo vệ dữ liệu không tì vết.
LastPass là trình quản lý mật khẩu được sử dụng rộng rãi được nhiều cá nhân sử dụng để bảo mật thông tin bí mật của họ. Tuy nhiên, nó đã gặp phải một số sự cố bảo mật dẫn đến việc dữ liệu khách hàng bị lộ và do đó gây rủi ro cho các chi tiết nhạy cảm của người dùng.
Trước những lo ngại gần đây về bảo mật dữ liệu, người ta có thể thắc mắc về tần suất LastPass, một dịch vụ quản lý mật khẩu phổ biến, gặp phải các cuộc tấn công mạng và liệu việc sử dụng nó có an toàn hay không.
Vi phạm LastPass 2015
Nguồn hình ảnh: Ervins Strauhmanis/Flickr
Vào tháng 6 năm 2015, khoảng bảy năm sau khi thành lập, LastPass đã phát hiện một vi phạm bảo mật nghiêm trọng làm xâm phạm địa chỉ email và thông tin mật khẩu chính của cơ sở người dùng, cùng với bất kỳ cụm từ gợi ý hoặc nhắc nhở nào được sử dụng cho mục đích ghi nhớ. Vụ việc được đưa ra ánh sáng khi công ty phát hiện hoạt động mạng bất thường và đã kịp thời thực hiện các bước để ngăn chặn. Tuy nhiên, tác hại đã được gây ra trước khi phát hiện này.
Trong ghi chú hiện đã hết hạn gửi cho khách hàng (có sẵn thông qua Internet Archive), LastPass đã thông báo cho người dùng rằng những người sử dụng các lớp bảo mật bổ sung như băm và thêm muối vào mật khẩu của họ có thể sẽ an toàn trước vụ hack. May mắn thay, phần lớn người dùng LastPass sử dụng các phương pháp bảo mật này, nghĩa là chỉ một phần nhỏ khách hàng có nguy cơ bị ảnh hưởng.
LastPass đã báo cáo rằng không có tài khoản người dùng nào bị xâm phạm do cuộc tấn công mạng, mặc dù họ đặc biệt khuyến nghị người dùng xác nhận địa chỉ email của mình và đặt lại mọi mật khẩu chính thường được sử dụng để tăng cường các biện pháp an toàn.
Một vài tuần sau vụ hack, LastPass đã xuất bản một bài đăng trên blog nói rằng tính bảo mật của nó đã được cải thiện kể từ vụ hack, với một loạt các những thay đổi lớn nhỏ đang được thực hiện để bảo vệ khách hàng hơn nữa. Bao gồm trong những thay đổi này là việc giới thiệu Mô-đun bảo mật phần cứng (HSM), bảo vệ cơ sở hạ tầng mật mã của LastPass.
Sự cố theo dõi LastPass 2021
Mặc dù LastPass không bị hack vào năm 2021 nhưng nó đã gặp sự cố khi người ta phát hiện ứng dụng Android của nó chứa trình theo dõi của bên thứ ba. Vào tháng 2 năm 2021, một ứng dụng phân tích bảo mật có tên Exodus Privacy tiết lộ rằng họ đã tìm thấy 7 trình theo dõi trong ứng dụng LastPass Android, làm dấy lên sự nghi ngờ của người dùng. Nhà nghiên cứu bảo mật Mike Kuketz đã bình luận về phát hiện này trong một bài đăng trên blog Bảo mật CNTT Kuketz , nói rằng"hoàn toàn không có về vấn đề tích hợp [quảng cáo và trình theo dõi] vào các ứng dụng quản lý mật khẩu.”
LastPass, một trình quản lý mật khẩu phổ biến dành cho thiết bị di động, đã bị phát hiện có tích hợp một số trình theo dõi của bên thứ ba vào ứng dụng của nó. Những trình theo dõi này được xác định bởi chuyên gia an ninh mạng Andrew Kuketz, người đã chỉ trích hoạt động này là rất đáng nghi ngờ liên quan đến quyền riêng tư và bảo vệ dữ liệu của người dùng. Cụ thể, các trình theo dõi được LastPass sử dụng bao gồm những trình theo dõi được liên kết với Google Analytics, Segment và AppsFlyer. Theo quan điểm của Kuketz, việc cấp quyền truy cập rộng rãi như vậy vào các dịch vụ phân tích tiếp thị sẽ gây ra rủi ro đáng kể đối với thông tin cá nhân và bảo mật trực tuyến của người dùng.
Để xác định xem trình theo dõi của ứng dụng LastPass Android có liên tục theo dõi hoạt động của người dùng hay không, cần phải kiểm tra phần mềm theo cách thủ công. Mặc dù sự tồn tại đơn thuần của các trình theo dõi này có thể cho thấy sự thiếu ưu tiên trong việc đảm bảo tính bảo mật trong ứng dụng, nhưng cần phải điều tra thêm để xác nhận khả năng theo dõi hoạt động của chúng.
Để đáp lại lời chỉ trích này, LastPass đã thông báo cho người dùng rằng họ có sử dụng các công cụ phân tích. LastPass nhấn mạnh rằng điều này được thực hiện để hiểu rõ hơn về “dữ liệu báo cáo sự cố, lỗi và đo từ xa của ứng dụng, cũng như thông tin thống kê sử dụng cấp cao để cuối cùng cải thiện hiệu suất, độ tin cậy và khả năng sử dụng tổng thể của [ứng dụng].”
Bản chất tùy chọn của thành phần phân tích trong ứng dụng LastPass không làm giảm nhận thức tiêu cực về việc đưa nó vào trong cả các chuyên gia bảo mật và người dùng cuối.
Vi phạm LastPass 2022
LastPass đã trải qua một cuộc tấn công mạng tiếp theo vào năm 2022, cuộc tấn công này tỏ ra đầy thách thức và tiếp theo là vụ vi phạm đầu tiên vào năm 2015. Các sự kiện năm 2022 đã để lại hậu quả đáng kể, bằng chứng là tác động liên tục được cảm nhận trong suốt năm 2023.
Vào tháng 8 năm 2022, chúng tôi nhận thấy rằng một cá nhân trái phép đã có được quyền truy cập vào một trong các máy tính xách tay của nhà phát triển của chúng tôi, dẫn đến nguy cơ bị xâm phạm mã nguồn và nền tảng phát triển dựa trên đám mây của chúng tôi. Mặc dù thực tế rằng đây là một nguyên nhân gây lo ngại, chúng tôi vui mừng thông báo rằng thủ phạm không lấy được dữ liệu khách hàng nào.
Sau một thời gian ngắn tương đối ổn định, tình hình lại một lần nữa xấu đi. Vào tháng 12 năm 2022, LastPass tiết lộ rằng vụ vi phạm an ninh xảy ra vào tháng 8 đã cung cấp cho tội phạm mạng quyền truy cập vào các khía cạnh nhạy cảm bổ sung trong mạng của họ, vốn đã bị xâm phạm lần đầu vào tháng 11. Trong lần xâm nhập tiếp theo này, những cá nhân trái phép đã có được quyền truy cập vào thông tin cá nhân của khách hàng LastPass, bao gồm chi tiết địa chỉ thư điện tử và giao thức internet (IP), cũng như hồ sơ số điện thoại và tên. Hơn nữa, một số danh mục dữ liệu nhất định có trong kho kỹ thuật số của người dùng cũng bị lộ, bao gồm thông tin đăng nhập bí mật được sử dụng để xác thực quyền truy cập vào các dịch vụ trực tuyến khác nhau.
Không còn nghi ngờ gì nữa, LastPass đang rơi vào tình thế bấp bênh, với các sự kiện diễn ra nhanh chóng vào năm 2023 và không có dấu hiệu giảm bớt.
Hậu quả năm 2023
Mặc dù không có vi phạm mới nào được xác định liên quan đến LastPass trong năm 2023, nhưng ngày càng có nhiều chi tiết đáng lo ngại liên quan đến các sự cố xảy ra vào năm 2022.
Vào tháng 1 năm 2023, công ty mẹ của LastPass, GoTo, đã đưa ra một tuyên bố về hậu quả của vụ hack năm 2022. Tuyên bố của GoTo đã giải thích rằng một số trong số các dịch vụ khác của công ty, bao gồm Central, Hamachi, Pro, join.me và RemotelyAnywhere, cũng là mục tiêu của những kẻ tấn công thông qua thiết bị lưu trữ đám mây của bên thứ ba. Từ thiết bị này, kẻ tấn công đã đánh cắp các bản sao lưu được mã hóa. Hơn nữa, GoTo tiết lộ rằng họ đã tìm thấy bằng chứng cho thấy khóa mã hóa cho một số bản sao lưu bị đánh cắp cũng đã bị truy cập.
Vào tháng 2 năm 2023, LastPass một lần nữa gây chú ý sau khi được tiết lộ rằng trong khoảng thời gian tách biệt hai vụ vi phạm lớn vào năm 2022, đã có dấu hiệu về các hoạt động bất chính khác của thủ phạm.
Theo thông tin được cung cấp trong tin nhắn trước đó, có thông tin cho rằng vào tháng 11 năm 2022, tội phạm mạng đã xâm nhập thành công vào máy tính cá nhân của một nhân viên cấp cao tại LastPass bằng cách khai thác lỗ hổng bảo mật trong phương tiện phần mềm. Sau cuộc xâm nhập này, những kẻ tấn công đã triển khai một công cụ ghi lại thao tác gõ phím cho phép chúng giám sát và ghi lại dữ liệu đầu vào của cá nhân từ bàn phím, từ đó có được quyền truy cập vào thông tin nhạy cảm.
Vi phạm nói trên cho phép những kẻ xâm nhập truy cập vào thông tin nhạy cảm được lưu trữ trong kho lưu trữ LastPass của công ty, được bảo vệ bằng mật khẩu chính của nhà phát triển. Thật đáng kinh ngạc, người ta đã tiết lộ rằng chỉ có bốn cá nhân trong nhóm phát triển cấp cao của công ty có quyền truy cập đặc quyền vào tài nguyên quan trọng này, tuy nhiên ngay cả với mức độ tiếp xúc hạn chế như vậy, tội phạm mạng vẫn có thể xâm nhập hệ thống một cách hiệu quả và xâm phạm tài khoản của ít nhất một nhà phát triển.
Vào năm 2022, tội phạm mạng đã sử dụng thông tin đăng nhập bị xâm phạm do vi phạm dữ liệu để đánh cắp tài sản kỹ thuật số trị giá khoảng 4,4 triệu đô la thông qua việc truy cập trái phép vào ví tiền điện tử bằng cách sử dụng cụm từ hạt giống và khóa riêng bị đánh cắp có được trong một sự cố bảo mật khác trong cùng năm.
LastPass có danh sách đầy đủ dữ liệu được truy cập trong các vụ hack năm 2022 nếu bạn’Tôi muốn xem tất cả những gì đã được phơi bày do sự cố năm 2022.
LastPass có còn an toàn để sử dụng không?
Mặc dù LastPass vẫn duy trì sự hiện diện của mình với tư cách là trình quản lý mật khẩu từ năm 2008, nhưng một số vụ vi phạm dữ liệu và sai sót bảo mật đáng báo động đã xảy ra trong những năm gần đây. Xem xét lịch sử tồn tại các lỗ hổng bảo mật của nó, người ta không thể không lo lắng khi xem xét sự an toàn của việc sử dụng LastPass. Vì vậy, câu hỏi vẫn còn-LastPass có phải là một lựa chọn đáng tin cậy hay sẽ khôn ngoan hơn nếu khám phá các giải pháp thay thế?
Mặc dù việc sử dụng LastPass cung cấp giải pháp thay thế an toàn hơn so với việc sử dụng các ứng dụng ghi chú cơ bản hoặc kho lưu trữ dữ liệu tương tự, nhưng rất có thể các giải pháp quản lý mật khẩu ưu việt hiện đang tồn tại trên thị trường. Đáng tiếc, LastPass đã gặp phải một số sai sót đáng chú ý về mặt an ninh mạng, điều này đã gây ra sự lo lắng đáng kể trong cơ sở người dùng của nó. Do đó, nhiều cá nhân đã từ bỏ nền tảng này do lo ngại về các vi phạm an ninh trong tương lai, thay vào đó chọn các nhà cung cấp có thành tích không tì vết.
Dashlane và NordPass là những ví dụ minh họa về các trình quản lý mật khẩu quý giá được biết đến với hồ sơ bảo mật tuyệt đối, do đó gợi ý rằng người ta có thể xác định một trình quản lý mật khẩu có hồ sơ theo dõi nguyên vẹn về mặt này.
Nếu bạn đang dự định chuyển khỏi LastPass và tìm kiếm các lựa chọn thay thế, chúng tôi cung cấp hướng dẫn đầy thông tin hướng dẫn bạn quy trình hủy kích hoạt tài khoản LastPass của bạn. Ngoài ra, đối với những người đang tìm kiếm một trình quản lý mật khẩu an toàn, chúng tôi cung cấp bản đánh giá toàn diện về các lựa chọn thay thế đáng tin cậy nhất hiện có.
Mặc dù LastPass có thể đã từng gặp phải các vi phạm bảo mật trong quá khứ nhưng điều này không nhất thiết khiến nó trở thành một lựa chọn không đáng tin cậy để bảo vệ mật khẩu. Trên thực tế, ứng dụng tiếp tục cung cấp vô số chức năng có giá trị được thiết kế để bảo mật thông tin đăng nhập nhạy cảm một cách dễ dàng, ngay cả đối với những người không rành về công nghệ.
LastPass không phải là vua quản lý mật khẩu
Mặc dù việc sử dụng LastPass để lưu trữ mật khẩu có thể được coi là một cách tiếp cận thông thường nhưng điều quan trọng là phải thừa nhận rằng hiện có nhiều lựa chọn mạnh mẽ hơn và có độ bảo mật cao hơn trên thị trường. Những giải pháp thay thế này có thể cung cấp thêm một lớp bảo vệ để bảo vệ dữ liệu bí mật của một người.