Основні Висновки
- У минулому сервіс LastPass неодноразово ставав жертвою витоків інформації, зокрема у 2015 році, коли було розкрито електронні адреси користувачів та їхні головні паролі. Проте, більшість користувачів, які застосовували додаткові заходи безпеки, ймовірно, уникли негативних наслідків злому.
- У 2021 році LastPass опинився під вогнем критики через виявлення в їхньому додатку для Android трекерів сторонніх розробників, що викликало занепокоєння щодо безпеки. Представники LastPass запевнили, що трекери використовувались для збору телеметрії додатків і користувачі мали можливість їх відключити.
- У 2022 році LastPass зазнав серйозної кібератаки, в результаті якої зловмисники отримали доступ до даних клієнтів та інформації про їхні сховища. Цей інцидент мав значні наслідки для LastPass та його материнської компанії GoTo, включаючи викрадення зашифрованих резервних копій та докази доступу до ключів шифрування.
- Підсумовуючи, хоча LastPass загалом вважається надійним сервісом, численні випадки витоків та інцидентів безпеки змусили деяких користувачів шукати альтернативні менеджери паролів, які не були скомпрометовані.
Багато хто з нас покладається на менеджери паролів для захисту персональних даних, і LastPass є одним з найпоширеніших варіантів. Однак, LastPass стикався з численними порушеннями безпеки, що створює ризики для конфіденційної інформації користувачів.
Тож, скільки разів LastPass був зламаний, і чи є його використання безпечним на сьогодні?
1. Злам LastPass у 2015 році
Автор зображення: Ervins Strauhmanis/Flickr
Перша кібератака на LastPass відбулася в червні 2015 року, через сім років після заснування компанії. Це серйозне порушення розкрило електронні адреси та головні паролі користувачів, а також підказки, які використовувалися для їхнього відновлення. Зловмисники виявили підозрілу мережеву активність, яку оперативно заблокували, але певні збитки вже були завдані.
В офіційному повідомленні для клієнтів (доступному через веб-архів), LastPass повідомив, що користувачі, які використовували додаткові рівні захисту, такі як хешування та соління паролів, швидше за все, не постраждали від злому. На щастя, більшість користувачів LastPass застосовували ці методи безпеки, тому лише незначна кількість клієнтів опинилася під загрозою.
LastPass також заявив, що немає підстав вважати, що доступ до будь-яких облікових записів користувачів був отриманий в результаті атаки. Проте, компанія закликала користувачів перевірити свої електронні адреси та оновити паролі для посилення безпеки.
Через декілька тижнів після інциденту, LastPass опублікував статтю в блозі, де заявив, що його безпека була посилена завдяки ряду змін, впроваджених для подальшого захисту клієнтів. Ці зміни включали впровадження апаратних модулів безпеки (HSM), які захищають криптографічну інфраструктуру LastPass.
2. Інцидент з відстеженням LastPass у 2021 році
Хоча LastPass не був зламаний у 2021 році, компанія зіткнулася з проблемами, коли виявилося, що в її додатку для Android використовуються трекери сторонніх розробників. У лютому 2021 року програма аналізу безпеки Exodus Privacy виявила сім трекерів у додатку LastPass для Android, що викликало занепокоєння серед користувачів. Дослідник безпеки Майк Кукетц прокоментував це відкриття у своїй публікації в блозі Kuketz IT Security, заявивши, що “інтеграція [реклами та трекерів] у програмах для керування паролями є неприйнятною”.
Кукетц також перерахував сім трекерів, знайдених у додатку LastPass для Android, серед яких були трекери від Google Analytics, Segment та AppsFlyer. Надання доступу платформам маркетингової аналітики таким чином було засуджено Кукетцем, який написав, що підхід LastPass є “надзвичайно сумнівним з точки зору безпеки”.
Кукетц наголосив, що Android-додаток LastPass необхідно було перевірити вручну, щоб визначити, чи активно трекери стежать за користувачами. Проте, сама наявність трекерів, за словами Кукетца, є поганою практикою для програми, яка повинна мати пріоритет безпеки.
У відповідь на критику, LastPass повідомив, що використовує інструменти аналітики для отримання уявлення про “телеметрію додатків, дані звітів про помилки та збої, а також статистичну інформацію про використання з метою підвищення загальної продуктивності, надійності та зручності використання [додатку]”.
Також було зазначено, що аналітичний елемент у додатку LastPass був опціональним і користувачі могли відключити його в розширених налаштуваннях. Але незважаючи на це, наявність трекерів у Android-додатку LastPass викликала негативну реакцію серед аналітиків безпеки та користувачів.
3. Зломи LastPass у 2022 році
Після першого інциденту 2015 року, LastPass деякий час не зазнавав кібератак. Однак, у 2022 році сталася ще одна. Цей рік був особливо важким для LastPass: перший злом у серпні спричинив хвилю наслідків, яка тривала і у 2023 році.
На початку серпня 2022 року LastPass стало відомо про злом, коли хакер проник до ноутбука розробника LastPass, щоб викрасти вихідний код і отримати доступ до хмарної платформи розробки компанії. Зловмисник обійшов захист багатофакторної аутентифікації в обліковому записі інженера, успішно аутентифікувавши себе як користувача. Хоча це був тривожний інцидент, хакер не отримав доступу до інформації про клієнтів.
Але через декілька місяців ситуація погіршилася. У грудні 2022 року LastPass оголосив, що серпневий злом надав зловмисникам доступ до більш вразливих частин інфраструктури, які вони вперше використали в листопаді. Цього разу хакери отримали доступ до даних клієнтів LastPass, включаючи електронні та IP-адреси, номери телефонів та імена. Крім того, було розкрито певні типи даних сховища користувачів, зокрема збережені імена користувачів і паролі для онлайн-акаунтів.
Ситуація для LastPass була вкрай складною і наслідки тривали у 2023 році.
Наслідки 2023 року
Хоча у 2023 році нових хакерських атак на LastPass не було зафіксовано, з’явилася тривожна інформація про експлойти 2022 року.
У січні 2023 року материнська компанія LastPass, GoTo, оприлюднила заяву щодо наслідків зломів 2022 року. Заява GoTo пояснила, що кілька інших сервісів компанії, включно з Central, Hamachi, Pro, join.me та RemotelyAnywhere, також стали ціллю зловмисників через стороннє хмарне сховище. З цього сховища хакери викрали зашифровані резервні копії. Крім того, GoTo повідомила про знайдені докази доступу до ключів шифрування для деяких викрадених резервних копій.
У лютому 2023 року LastPass знову потрапив у заголовки новин, коли стало відомо, що зловмисники скоїли додаткові шкідливі дії в період між першим і другим зломами 2022 року.
Як зазначено у повідомленні X вище, хакери у листопаді 2022 року зламали домашній комп’ютер старшого розробника LastPass через вразливість програмного забезпечення. Після зламу комп’ютера, хакери встановили кейлогер, який дозволяв їм відстежувати, що розробник вводить на клавіатурі.
Це дозволило зловмисникам отримати доступ до головного пароля корпоративного сховища LastPass розробника, що відкрило їм доступ до самого сховища. Вражає той факт, що лише чотири старші розробники LastPass мали доступ до корпоративного сховища, і зловмисникам все ж вдалося успішно націлитися на одного з них.
Крім того, використовуючи вкрадені у 2022 році облікові дані, хакери викрали 4,4 мільйона доларів у криптовалюті в жовтні 2023 року. Зловмисники, ймовірно, отримали доступ до початкових фраз і ключів криптогаманців під час другого зламу у 2022 році, що дозволило їм вивести криптовалюту на потрібну адресу.
LastPass має детальний список даних, до яких було отримано доступ під час хакерських атак 2022 року, якщо ви хочете переглянути повну інформацію про наслідки інцидентів.
Чи безпечно використовувати LastPass?
Хоча LastPass існує з 2008 року, більшість витоків даних та інцидентів безпеки сталися у 2020-х роках. Зважаючи на численні проблеми з безпекою у минулому, цілком природно відчувати занепокоєння щодо використання LastPass. Тож яке рішення? Чи безпечно використовувати LastPass, чи варто обрати інший варіант?
Хоча LastPass безпечніший, ніж звичайний додаток для нотаток або аналогічний спосіб зберігання даних, цілком можливо, що сьогодні існують надійніші менеджери паролів. Зважаючи на велику кількість недоліків у безпеці, LastPass став неприйнятним для багатьох користувачів, оскільки невідомо, коли станеться ще один прорив у безпеці. Оскільки 2022 рік став проблематичним для LastPass та його користувачів, не дивно, що деякі з них відмовилися від цього сервісу на користь менеджерів паролів, які ще не були зламані.
Dashlane та NordPass є лише двома прикладами надійних менеджерів паролів, які жодного разу не зазнавали порушень безпеки, тож є можливість знайти менеджера паролів, клієнтські дані чи портали співробітників якого не були б скомпрометовані.
Якщо ви зараз користуєтеся LastPass, але бажаєте відмовитися від нього, ознайомтеся з нашим посібником з видалення облікового запису LastPass. Також у нас є зручний посібник щодо найбезпечніших менеджерів паролів, якщо вам потрібна допомога у виборі заміни.
Однак, інциденти безпеки LastPass не роблять його небезпечним менеджером паролів. Додаток все ще пропонує багато корисних функцій для захисту конфіденційних даних, і він простий у використанні для користувачів з будь-яким рівнем технічних знань.
LastPass не є лідером у керуванні паролями
Немає нічого поганого у використанні LastPass для зберігання паролів, оскільки додаток в цілому є досить безпечним. Проте, варто звернути увагу на надійніші альтернативи, якщо ви бажаєте забезпечити максимально ефективне зберігання своєї конфіденційної інформації.