Ключові висновки
- У минулому LastPass неодноразово зазнавав витоку даних, у тому числі в 2015 році, коли було відкрито електронні листи користувачів і головні паролі. Однак більшість користувачів, які використовували додаткові рівні безпеки, ймовірно, були в безпеці від злому.
- LastPass зіткнувся з критикою у 2021 році, коли було виявлено, що їх додаток для Android містить трекери сторонніх розробників, що викликало занепокоєння щодо безпеки. LastPass відповів, заявивши, що трекери використовувалися для телеметрії додатків і могли бути відключені користувачами.
- У 2022 році LastPass зазнав значного злому, коли зловмисники отримали доступ до даних клієнтів і інформації про сховище користувачів. Це порушення призвело до подальших наслідків для LastPass і його материнської компанії GoTo, включаючи викрадені зашифровані резервні копії та докази доступу до ключа шифрування.
- Загалом, хоча LastPass загалом вважається безпечним, численні порушення та інциденти безпеки спонукали деяких користувачів шукати альтернативні менеджери паролів, які не були зламані.
Багато з нас використовують менеджери паролів, щоб захистити свої особисті дані, а LastPass є одним з найпопулярніших варіантів. Але LastPass постраждав від неабиякої частки порушень даних, піддаючи ризику конфіденційну інформацію клієнтів.
Отже, скільки разів LastPass було зламано, і чи безпечно ним користуватися?
1. Порушення LastPass 2015
Автор зображення: Ervins Strauhmanis/Flickr
Перший злом LastPass стався в червні 2015 року, через сім років після заснування компанії. Це серйозне порушення виявило електронні листи та головні паролі користувачів LastPass, а також слова-підказки чи нагадування, які використовувалися для запам’ятовування головних паролів. Злом було помічено, коли LastPass виявив підозрілу мережеву активність, яку незабаром заблокували. Проте певної шкоди вже було завдано.
В повідомлення про термін дії для клієнтів (доступний через Інтернет-архів), LastPass поінформував користувачів, що ті, хто використовував додаткові рівні безпеки, такі як хешування та соління своїх паролів, швидше за все, були захищені від злому. На щастя, більшість користувачів LastPass використовують ці методи безпеки, тобто лише невелика частина клієнтів мала ймовірність постраждати.
LastPass також заявив, що не вірить у доступ до будь-яких облікових записів користувачів через атаку, але закликав користувачів перевірити свої адреси електронної пошти та оновити щотижня або неодноразово використовувати головні паролі для підвищення безпеки.
Через кілька тижнів після злому, LastPass опублікував допис у блозі заявивши, що його безпека покращилася після злому, з низкою малих і великих змін, внесених для подальшого захисту клієнтів. Ці зміни включали впровадження апаратних модулів безпеки (HSM), які захищають криптографічну інфраструктуру LastPass.
2. Інцидент із відстеженням LastPass 2021
Хоча LastPass не було зламано у 2021 році, у нього виникли проблеми, коли виявилося, що його додаток для Android містить трекери сторонніх розробників. У лютому 2021 року програма для аналізу безпеки під назвою Exodus Privacy показала, що виявила сім трекерів у програмі LastPass для Android, що викликало підозру серед користувачів. Дослідник безпеки Майк Кукетц прокоментував відкриття в a Публікація в блозі Kuketz IT Securityзаявивши, що «про інтеграцію не може бути й мови [ads and trackers] у програми керування паролями».
Кукетц також перерахував сім трекерів, знайдених у додатку LastPass для Android, серед яких трекери з Google Analytics, Segment і AppsFlyer. Надання доступу до платформ маркетингової аналітики таким чином засудив Кукетц, який написав, що підхід LastPass є «надзвичайно сумнівним з точки зору безпеки».
Кукетц підкреслив, що Android-додаток LastPass необхідно було перевірити вручну, щоб визначити, чи трекери активно стежили за користувачами. Однак наявність самих трекерів Кукетц зазначив, що це погана практика для програми, яка потребує пріоритету безпеки.
У відповідь на цю критику, LastPass поінформував користувачів що він використовує інструменти аналітики. LastPass підкреслив, що це було зроблено, щоб отримати уявлення про «телеметрію додатків, дані звітів про помилки та збої, а також високорівневу статистичну інформацію про використання, щоб остаточно підвищити загальну продуктивність, надійність і зручність використання [the app].”
Також було зазначено, що елемент аналітики в додатку LastPass був додатковою функцією, яку користувачі могли вимкнути в розширених налаштуваннях. Але незважаючи на це, наявність трекерів у Android-додатку LastPass залишила поганий присмак у вустах аналітиків безпеки та користувачів.
3. Зломи LastPass 2022
Після першого інциденту 2015 року LastPass знадобився деякий час, щоб зазнати ще однієї кібератаки. Але у 2022 році таки сталася ще одна атака. Цей рік був особливо важким для LastPass: перший злом у серпні спричинив шокові хвилі, які триватимуть у 2023 році.
На початку серпня 2022 року LastPass стало відомо про злом, коли хакер зламав ноутбук розробника LastPass, щоб викрасти вихідний код і отримати доступ до хмарної платформи розробки компанії. Хакер обійшов безпеку багатофакторної автентифікації в обліковому записі інженера, успішно автентифікувавши себе як користувача. Хоча це був дуже тривожний інцидент, хакер не отримав жодної інформації про клієнтів.
Але через кілька місяців справи пішли ще гірше. У грудні 2022 року LastPass оголосив, що серпневий злом дав зловмисникам доступ до більш чутливих областей його інфраструктури, які вперше використали в листопаді. Цього разу хакери отримали доступ до даних клієнтів LastPass, включаючи електронні та IP-адреси, номери телефонів та імена. Крім того, були розкриті певні типи даних сховища користувачів, включаючи збережені імена користувачів і паролі для облікових записів в Інтернеті.
Зайве говорити, що LastPass зараз був у дуже гарячій ситуації, і все не зупиниться в 2023 році.
Наслідки 2023 року
Хоча 2023 рік не приніс нових хаків для LastPass, він приніс все більше тривожної інформації про експлойти 2022 року.
У січні 2023 року материнська компанія LastPass, GoTo, оприлюднила заяву про наслідки зломів 2022 року. Заява GoTo пояснив, що кілька інших служб компанії, включаючи Central, Hamachi, Pro, join.me і RemotelyAnywhere, також були мішенню зловмисників через стороннє хмарне сховище. З цього пристрою зловмисники викрали зашифровані резервні копії. Більше того, GoTo показало, що знайшло докази того, що також був доступ до ключа шифрування для деяких викрадених резервних копій.
У лютому 2023 року LastPass знову потрапив у заголовки новин, коли з’ясувалося, що між першим і другим зломами 2022 року зловмисники вчинили більше зловмисних дій.
Як зазначено в дописі X вище, хакери в листопаді 2022 року скомпрометували домашній комп’ютер старшого розробника LastPass через уразливість програмного забезпечення. Після злому комп’ютера хакери встановили кейлоггер, який дозволяв їм бачити, що розробник вводить на клавіатурі.
Це дало зловмисникам доступ до головного пароля корпоративного сховища LastPass розробника, дозволяючи зловмисникам отримати доступ до самого сховища. Тут шокуюче те, що лише чотири старші розробники LastPass мали доступ до корпоративного сховища, і зловмисникам все ж вдалося успішно націлитися на одного такого розробника.
Хакери також використали облікові дані користувача, викрадені у 2022 році, щоб викрасти 4,4 мільйона доларів у криптовалюті в жовтні 2023 року. Вважається, що зловмисники отримали доступ до початкових фраз і ключів крипто-гаманця під час другого злому у 2022 році, що дозволило їм зламати гаманці та вивести криптовалюту на бажаний адресу.
LastPass має a повний список даних, доступ до яких було отримано під час хаків 2022 року якщо ви хочете побачити все, що було викрито через інциденти 2022 року.
Чи безпечно користуватися LastPass?
Хоча LastPass працює з 2008 року, більшість витоків даних і інцидентів безпеки сталися в 2020-х роках. Враховуючи численні минулі проблеми з безпекою, природно відчувати трохи хвилювання щодо використання LastPass, тож який тут вердикт? Чи безпечно використовувати LastPass чи варто вибрати щось інше?
Хоча використовувати LastPass безпечніше, ніж простий додаток для нотаток або подібний варіант зберігання, цілком можливо, що сьогодні є кращі менеджери паролів. З такою кількістю недоліків у безпеці LastPass став неприйнятним для багатьох, оскільки невідомо, коли станеться ще одне порушення. Оскільки 2022 рік спричинив стільки проблем для LastPass та його користувачів, не дивно, що деякі користувачі відмовилися від цього, обираючи менеджери паролів, які ще не були зламані.
Dashlane і NordPass є лише двома прикладами високоповажних менеджерів паролів, які ніколи не зазнавали порушень безпеки, тож безумовно можна знайти менеджер паролів, дані клієнтів чи портали співробітників якого не були піддані хакерам.
Якщо ви наразі користуєтеся LastPass, але хочете продовжити роботу, перегляньте наш посібник із видалення облікового запису LastPass. У нас також є зручний посібник щодо найбезпечніших менеджерів паролів, якщо вам потрібна допомога у виборі заміни.
Однак інциденти безпеки LastPass не роблять його небезпечним менеджером паролів. Додаток усе ще має багато корисних функцій для захисту конфіденційних облікових даних і простий у використанні незалежно від рівня технічної підкованості.
LastPass не є королем керування паролями
Немає нічого поганого у використанні LastPass для зберігання паролів, оскільки програма, як правило, досить безпечна. Однак варто звернути увагу на супербезпечні альтернативи, якщо ви хочете забезпечити максимально ефективне зберігання вашої конфіденційної інформації.