Koľkokrát bol LastPass napadnutý a je stále bezpečné ho používať?

Kľúčové informácie

• LastPass v minulosti zaznamenal viacero porušení údajov vrátane jedného v roku 2015, ktoré odhalilo e-maily používateľov a hlavné heslá. Avšak väčšina používateľov, ktorí využívali ďalšie bezpečnostné vrstvy, bola pravdepodobne v bezpečí pred narušením.
• LastPass čelil kritike v roku 2021, keď sa zistilo, že ich aplikácia pre Android obsahuje sledovače tretích strán, čo vyvoláva obavy o bezpečnosť. LastPass reagoval vyhlásením, že sledovače sa používali na telemetriu aplikácií a používatelia ich mohli deaktivovať.
• LastPass zaznamenal významné narušenie v roku 2022, keď útočníci získali prístup k údajom o zákazníkoch a k informáciám o trezore používateľov. Toto porušenie viedlo k ďalším následkom pre LastPass a jej materskú spoločnosť GoTo, vrátane ukradnutých šifrovaných záloh a dôkazov o prístupnom šifrovacom kľúči.
• Celkovo možno povedať, že zatiaľ čo LastPass sa vo všeobecnosti považuje za bezpečný, viaceré porušenia a bezpečnostné incidenty viedli niektorých používateľov k tomu, aby hľadali alternatívnych správcov hesiel, ktoré neboli ohrozené.
  instagram viewer

Mnohí z nás používajú správcov hesiel, aby udržali svoje súkromné ​​údaje v bezpečí, pričom LastPass je jednou z najobľúbenejších možností. LastPass však utrpel spravodlivý podiel na porušení údajov, čo ohrozilo citlivé informácie zákazníkov.

Koľkokrát bol teda LastPass napadnutý a je stále bezpečné ho používať?

1. Porušenie LastPass 2015

K prvému hacknutiu LastPass došlo v júni 2015, sedem rokov po založení spoločnosti. Toto vážne narušenie odhalilo e-maily a hlavné heslá používateľov LastPass, ako aj náznaky alebo slová pripomenutia, ktoré sa používajú na zapamätanie hlavných hesiel. Hack bol zaznamenaný, keď LastPass zachytil podozrivú sieťovú aktivitu, ktorá bola čoskoro zablokovaná. K určitým škodám však už došlo.

V teraz vypršaná poznámka pre zákazníkov (dostupné prostredníctvom internetového archívu), LastPass informoval používateľov, že tí, ktorí používali ďalšie bezpečnostné vrstvy, ako je hashovanie a solenie svojich hesiel, boli pravdepodobne v bezpečí pred hacknutím. Našťastie väčšina používateľov LastPass používa tieto bezpečnostné metódy, čo znamená, že len malá časť zákazníkov mala šancu byť ovplyvnená.

LastPass tiež uviedol, že neverí, že v dôsledku útoku boli prístupné žiadne používateľské účty, ale vyzval používateľov na overenie ich e-mailových adries a obnovenie každý týždeň alebo opakovane používané hlavné heslá na zvýšenie bezpečnosť.

Niekoľko týždňov po hacknutí, LastPass zverejnil blogový príspevok uvádza, že jeho bezpečnosť sa od hacknutia zlepšila, pričom sa vykonalo množstvo malých a veľkých zmien na ďalšiu ochranu zákazníkov. Súčasťou týchto zmien bolo zavedenie hardvérových bezpečnostných modulov (HSM), ktoré chránia kryptografickú infraštruktúru LastPass.

2. Incident sledovania LastPass 2021

Hoci LastPass nebol v roku 2021 napadnutý, narazil na problémy, keď sa zistilo, že jeho aplikácia pre Android obsahuje sledovače tretích strán. Vo februári 2021 aplikácia na analýzu bezpečnosti s názvom Exodus Privacy odhalila, že v aplikácii LastPass pre Android našla sedem sledovačov, čo vyvolalo podozrenie medzi používateľmi. Bezpečnostný výskumník Mike Kuketz komentoval objav v a Blogový príspevok Kuketz IT Security, pričom uvádza, že „je úplne vylúčené integrovať [reklamy a sledovače] do aplikácií na správu hesiel.“

Kuketz tiež uviedol sedem sledovačov nájdených v aplikácii LastPass pre Android, ktorá zahŕňala sledovače zo služieb Google Analytics, Segment a AppsFlyer. Poskytnutie prístupu k platformám marketingovej analýzy týmto spôsobom odsúdil Kuketz, ktorý napísal, že prístup LastPass je „extrémne otázny z hľadiska bezpečnosti“.

Kuketz zdôraznil, že aplikáciu LastPass pre Android bolo potrebné skontrolovať manuálne, aby sa zistilo, či sledovače aktívne sledujú používateľov. Kuketz však označil prítomnosť samotných sledovačov za zlý postup pre aplikáciu, ktorá musí uprednostňovať bezpečnosť.

V reakcii na túto kritiku LastPass informoval používateľov že používa analytické nástroje. LastPass zdôraznil, že to bolo urobené s cieľom získať prehľad o „aplikačnej telemetrii, údajoch o chybách a zlyhaní, ako aj o štatistické informácie o používaní na vysokej úrovni, aby sa v konečnom dôsledku zlepšil celkový výkon, spoľahlivosť a použiteľnosť [the aplikácia]."

Bolo tiež uvedené, že analytický prvok aplikácie LastPass je voliteľná funkcia, ktorú môžu používatelia zakázať vo svojich pokročilých nastaveniach. Bez ohľadu na to však prítomnosť sledovačov v aplikácii LastPass pre Android zanechala zlú pachuť v ústach bezpečnostných analytikov a používateľov.

3. Porušenia LastPass 2022

Trvalo nejaký čas, kým LastPass po prvom incidente v roku 2015 narazil na ďalší kybernetický útok. Ale v roku 2022 skutočne prišiel ďalší útok. Pre LastPass to bol obzvlášť ťažký rok, pričom prvý hack v auguste spôsobil šokové vlny, ktoré budú pokračovať do roku 2023.

Začiatkom augusta 2022 sa spoločnosť LastPass dozvedela o porušení, keď hacker kompromitoval laptop vývojára LastPass, aby ukradol zdrojový kód a získal prístup k cloudovej vývojovej platforme spoločnosti. Hacker obišiel bezpečnosť viacfaktorovej autentifikácie na účte inžiniera tým, že sa úspešne overil ako používateľ. Aj keď išlo o veľmi znepokojujúci incident, hacker nezískal žiadne informácie o zákazníkovi.

Ale o pár mesiacov neskôr sa veci zhoršili. V decembri 2022 LastPass oznámil, že augustový hack poskytol útočníkom cestu do citlivejších oblastí jej infraštruktúry, ktorá bola prvýkrát zneužitá v novembri. Tentokrát, hackeri získali prístup k údajom zákazníkov LastPassvrátane e-mailových a IP adries, telefónnych čísel a mien. Okrem toho boli vystavené určité druhy údajov trezora používateľov vrátane uložených používateľských mien a hesiel pre online účty.

Netreba dodávať, že LastPass bol teraz vo veľmi horúcej vode a veci sa nezastavia v roku 2023.

Následky roku 2023

Hoci rok 2023 nepriniesol žiadne nové hacky pre LastPass, priniesol čoraz viac znepokojujúcich informácií o exploitoch roku 2022.

V januári 2023 vydala materská spoločnosť LastPass, GoTo, vyhlásenie o dôsledkoch hackov z roku 2022. Vyhlásenie GoTo vysvetlil, že na niekoľko ďalších služieb spoločnosti, vrátane Central, Hamachi, Pro, join.me a RemotelyAnywhere, sa útočníci zamerali aj prostredníctvom cloudového úložného zariadenia tretej strany. Z tohto zariadenia útočníci ukradli šifrované zálohy. A čo viac, GoTo odhalilo, že našiel dôkazy naznačujúce, že bol prístupný aj šifrovací kľúč pre niektoré z ukradnutých záloh.

Vo februári 2023 sa LastPass opäť ocitol v titulkoch správ, keď sa ukázalo, že medzi prvým a druhým hackom v roku 2022 útočníci podnikli ďalšie škodlivé akcie.

Ako je zdokumentované v príspevku X vyššie, hackeri z novembra 2022 kompromitoval domáci počítač staršieho vývojára LastPass prostredníctvom zraniteľnosti softvérových médií. Po hacknutí počítača hackeri nainštalovali keylogger, ktorý im umožnil zobraziť, čo vývojár písal na ich klávesnici.

To umožnilo útočníkom prístup k hlavnému heslu firemného trezoru LastPass vývojára, čo útočníkom umožnilo prístup k samotnému trezoru. Šokujúce je, že do firemného trezoru mali prístup len štyria starší vývojári LastPass a útočníkom sa aj tak podarilo úspešne zacieliť na jedného takého vývojára.

Hackeri tiež použili používateľské poverenia ukradnuté v roku 2022, aby v októbri 2023 ukradli 4,4 milióna dolárov v kryptomene. Predpokladá sa, že útočníci získali prístup k počiatočným frázam a kľúčom krypto peňaženky pri druhom porušení v roku 2022, čo im umožnilo nabúrať sa do peňaženiek a stiahnuť krypto na požadovanú adresu.

LastPass má a úplný zoznam údajov, ku ktorým sa pristupovalo pri hackoch z roku 2022 ak by ste chceli vidieť všetko, čo bolo odhalené v dôsledku incidentov v roku 2022.

Je používanie LastPass stále bezpečné?

Hoci LastPass je v prevádzke od roku 2008, väčšina porušení údajov a bezpečnostných incidentov sa vyskytla v roku 2020. Vzhľadom na viaceré minulé bezpečnostné problémy je prirodzené, že sa pri používaní LastPass cítite trochu nervózne, takže aký je verdikt? Je používanie LastPass bezpečné alebo by ste sa mali rozhodnúť pre niečo iné?

Aj keď je bezpečnejšie používať LastPass ako jednoduchú aplikáciu s poznámkami alebo podobnú možnosť ukladania, dnes môžu existovať lepší správcovia hesiel. S toľkými chybami v bezpečnostnom zázname sa LastPass stal pre mnohých zakázaným, pretože nikto nevie, kedy dôjde k ďalšiemu narušeniu. Keďže rok 2022 spôsobuje LastPass a jeho používateľom toľko problémov, nie je žiadnym prekvapením, že niektorí používatelia vyskočili a rozhodli sa pre správcov hesiel, ktoré ešte neboli napadnuté.

Dashlane a NordPass sú len dva príklady vysoko uznávaných správcov hesiel, ktorí nikdy neutrpeli porušenie bezpečnosti, takže je určite možné nájsť správcu hesiel, ktorý nemal vystavené svoje zákaznícke údaje alebo zamestnanecké portály hackermi.

Ak momentálne používate LastPass, ale chcete ísť inam, pozrite si nášho sprievodcu na odstránením svojho účtu LastPass. Máme tiež šikovného sprievodcu na najbezpečnejších správcov hesiel ak potrebujete pomoc s výberom náhrady.

Avšak bezpečnostné incidenty LastPass z neho nerobia nebezpečného správcu hesiel. Aplikácia má stále veľa užitočných funkcií na ochranu citlivých poverení a ľahko sa používa bez ohľadu na technickú zdatnosť.

LastPass nie je kráľom správy hesiel

Na používaní LastPass na ukladanie hesiel nie je vo svojej podstate nič zlé, pretože aplikácia je vo všeobecnosti celkom bezpečná. Je však potrebné poznamenať, že existujú super bezpečné alternatívy, ak chcete zabezpečiť, aby sa vaše citlivé informácie uchovávali čo najefektívnejšie.