Značajne tačke
- LastPass je u prošlosti bio meta nekoliko sigurnosnih incidenata, uključujući proboj iz 2015. godine koji je razotkrio korisničke mejlove i glavne lozinke. Međutim, većina korisnika koja je koristila dodatne sigurnosne slojeve verovatno je ostala zaštićena.
- LastPass se suočio sa kritikama 2021. godine, kada je otkriveno da njihova Android aplikacija sadrži praćenje trećih strana, što je izazvalo zabrinutost za privatnost. LastPass je odgovorio tvrdnjom da se praćenje koristi za telemetriju aplikacija i da korisnici mogu da ga isključe.
- U 2022. godini, LastPass je pretrpeo značajan napad, gde su napadači došli do korisničkih podataka i informacija iz sefova korisnika. Ovaj incident je imao dalekosežne posledice za LastPass i njegovu matičnu kompaniju, GoTo, uključujući krađu šifrovanih rezervnih kopija i dokaze o pristupu ključu za šifrovanje.
- U suštini, iako se LastPass generalno smatra bezbednim, brojni proboji i sigurnosni incidenti su naveli neke korisnike da potraže alternative u vidu menadžera lozinki koji nisu bili kompromitovani.
Mnogi od nas se oslanjaju na menadžere lozinki kako bismo zaštitili svoje privatne podatke, a LastPass je jedna od najpopularnijih opcija. Međutim, LastPass je pretrpeo niz ozbiljnih incidenata, ugrožavajući osetljive podatke klijenata.
Dakle, koliko puta je LastPass hakovan i da li je i dalje siguran za upotrebu?
1. Proboj LastPassa 2015.
Kredit za sliku: Ervins Strauhmanis/Flickr
Prvi napad na LastPass dogodio se u junu 2015. godine, sedam godina nakon osnivanja kompanije. Ovaj ozbiljan proboj razotkrio je korisničke mejlove i glavne lozinke, kao i nagoveštaje ili podsetnike koji su se koristili za pamćenje glavnih lozinki. Napad je otkriven kada je LastPass primetio sumnjivu mrežnu aktivnost, koja je brzo blokirana. Ipak, određena šteta je već bila učinjena.
U obaveštenju za korisnike koje više nije dostupno (pristupačno putem Internet arhive), LastPass je obavestio korisnike da su oni koji koriste dodatne sigurnosne mere, poput heširanja i soljenja lozinki, verovatno bili zaštićeni od napada. Srećom, većina korisnika LastPassa koristi ove metode zaštite, što znači da je samo mali broj kupaca bio potencijalno ugrožen.
LastPass je takođe izjavio da ne veruje da je bilo koji korisnički nalog kompromitovan kao posledica napada, ali je pozvao korisnike da provere svoje mejl adrese i obnove sve glavne lozinke koje su slabe ili se više puta koriste, kako bi povećali nivo sigurnosti.
Nekoliko nedelja nakon napada, LastPass je objavio post na blogu u kojem navodi da je njegova sigurnost poboljšana nakon napada, uz niz malih i velikih promena koje su uvedene kako bi se dodatno zaštitili klijenti. Te promene su uključivale i uvođenje hardverskih sigurnosnih modula (HSM), koji štite kriptografsku infrastrukturu LastPassa.
2. Incident sa praćenjem LastPassa 2021.
Iako LastPass nije hakovan 2021. godine, suočio se sa problemima kada je otkriveno da njegova Android aplikacija sadrži praćenje trećih strana. U februaru 2021. godine, aplikacija za bezbednosnu analizu pod nazivom Exodus Privacy je otkrila da je pronašla sedam praćenja u LastPass Android aplikaciji, što je izazvalo sumnju među korisnicima. Bezbednosni istraživač, Majk Kukec, je prokomentarisao otkriće u postu na blogu Kuketz IT Security, navodeći da je „potpuno neprimereno integrisati [oglase i praćenje] u aplikacije za upravljanje lozinkama.“
Kukec je takođe naveo sedam praćenja pronađenih u LastPass Android aplikaciji, koja su uključivala praćenja od Google Analytics, Segment i AppsFlyer. Dozvoljavanje pristupa platformama za marketinšku analitiku na ovaj način je osudio Kukec, koji je napisao da je pristup LastPassa „izuzetno sporan sa stanovišta bezbednosti“.
Kukec je istakao da je neophodno ručno proveriti LastPass aplikaciju za Android kako bi se utvrdilo da li praćenja aktivno prate korisnike. Međutim, Kukec je primetio da je samo prisustvo praćenja loša praksa za aplikaciju koja treba da prioritizuje bezbednost.
Kao odgovor na ove kritike, LastPass je obavestio korisnike da koristi analitičke alate. LastPass je naglasio da je ovo učinjeno kako bi se dobio uvid u „telemetriju aplikacije, podatke o greškama i padovima, kao i statističke informacije visokog nivoa o upotrebi, kako bi se na kraju poboljšale ukupne performanse, pouzdanost i upotrebljivost [aplikacije]“.
Takođe je navedeno da je analitički element aplikacije LastPass opcionalna funkcija koju korisnici mogu da isključe u naprednim podešavanjima. Ali bez obzira na to, prisustvo praćenja u LastPass Android aplikaciji ostavilo je loš utisak kod bezbednosnih analitičara i korisnika.
3. Proboji LastPassa 2022.
Trebalo je vremena da LastPass doživi još jedan sajber napad nakon početnog incidenta iz 2015. Ali 2022. godina je zaista donela još jedan napad. Ovo je bila posebno teška godina za LastPass, sa početnim hakerskim napadom u avgustu koji je izazvao talas koji će se nastaviti i tokom 2023. godine.
Početkom avgusta 2022. godine, LastPass je saznao za proboj u kojem je haker kompromitovao laptop programera LastPassa kako bi ukrao izvorni kod i pristupio razvojnoj platformi kompanije zasnovanoj na oblaku. Haker je zaobišao sigurnost višefaktorske autentifikacije na nalogu inženjera tako što se uspešno autentifikovao kao korisnik. Iako je ovo bio vrlo zabrinjavajući incident, haker nije preuzeo informacije o klijentima.
Ali nekoliko meseci kasnije, stvari su se pogoršale. U decembru 2022. godine, LastPass je objavio da je hak u avgustu dao napadačima pristup osetljivijim područjima njegove infrastrukture, prvi put eksploatisanim u novembru. Ovog puta, hakeri su pristupili podacima o klijentima LastPassa, uključujući mejl i IP adrese, brojeve telefona i imena. Pored toga, razotkrivene su određene vrste podataka iz korisničkih sefova, uključujući sačuvana korisnička imena i lozinke za online naloge.
Nepotrebno je reći da je LastPass sada bio u veoma teškoj situaciji, a stvari se nisu zaustavile ni 2023. godine.
Posledice 2023.
Iako 2023. nije donela nove hakerske napade za LastPass, donela je sve više uznemirujućih informacija o podvizima iz 2022. godine.
U januaru 2023. godine, matična kompanija LastPassa, GoTo, objavila je izjavu o posledicama hakerskih napada iz 2022. godine. Izjava kompanije GoTo je objasnila da su i nekoliko drugih usluga kompanije, uključujući Central, Hamachi, Pro, join.me i RemoteAnywhere, takođe bile meta napadača putem uređaja za skladištenje u oblaku treće strane. Sa ovog uređaja, napadači su ukrali šifrovane rezervne kopije. Štaviše, GoTo je otkrio da je pronašao dokaze koji sugerišu da je ostvaren pristup ključu za šifrovanje nekih od ukradenih rezervnih kopija.
U februaru 2023. godine, LastPass se ponovo našao u naslovima vesti kada je otkriveno da su napadači preduzeli više zlonamernih akcija između prvog i drugog hakerskog napada 2022. godine.
Kao što je dokumentovano u postu na X-u iznad, hakeri iz novembra 2022. godine kompromitovali su kućni računar višeg programera LastPassa putem ranjivosti softverskog medija. Nakon hakovanja računara, hakeri su instalirali keylogger, omogućavajući im da vide šta programer kuca na svojoj tastaturi.
Ovo je omogućilo napadačima pristup glavnoj lozinci za korporativni sef programera LastPassa, dozvoljavajući im pristup samom sefu. Ono što je ovde šokantno je da su samo četiri viša programera LastPassa imala pristup korporativnom sefu, a napadači su ipak uspeli da uspešno ciljaju jednog od njih.
Hakeri su takođe koristili korisničke akreditive ukradene 2022. godine da ukradu 4,4 miliona dolara u kriptovaluti u oktobru 2023. Smatra se da su napadači pristupili početnim frazama i ključevima kripto novčanika u drugom proboju 2022. godine, omogućavajući im da hakuju novčanike i povuku kriptovalute na željenu adresu.
LastPass ima potpunu listu podataka kojima se pristupalo u hakerskim napadima 2022., ako želite da vidite sve što je razotkriveno kao rezultat incidenata 2022. godine.
Da li je LastPass i dalje siguran za upotrebu?
Iako je LastPass u upotrebi od 2008. godine, većina njegovih proboja podataka i sigurnosnih incidenata dogodila se u 2020-im godinama. S obzirom na brojne sigurnosne probleme u prošlosti, prirodno je osećati se pomalo nervozno zbog upotrebe LastPassa, pa kakva je odluka ovde? Da li je LastPass bezbedan za upotrebu ili treba da se odlučite za nešto drugo?
Iako je sigurnije koristiti LastPass nego jednostavnu aplikaciju za beleške ili slične opcije za čuvanje podataka, danas možda postoje bolji menadžeri lozinki. Sa toliko problema u njegovoj bezbednosnoj istoriji, LastPass je postao nedostupan za mnoge, jer se ne zna kada će doći do još jednog proboja. S obzirom da je 2022. godina izazvala toliko problema za LastPass i njegove korisnike, ne iznenađuje što su neki korisnici prešli na menadžere lozinki koji još nisu hakovani.
Dashlane i NordPass su samo dva primera veoma renomiranih menadžera lozinki koji nikada nisu pretrpeli bezbednosne proboje, tako da je svakako moguće pronaći menadžera lozinki čiji podaci o klijentima ili portali zaposlenih nisu bili izloženi hakerima.
Ako trenutno koristite LastPass, ali želite da pređete na nešto drugo, pogledajte naš vodič o brisanju LastPass naloga. Takođe imamo koristan vodič o najsigurnijim menadžerima lozinki ako vam je potrebna pomoć u odabiru zamene.
Međutim, bezbednosni incidenti LastPassa ga ne čine nesigurnim menadžerom lozinki. Aplikacija i dalje ima mnogo korisnih funkcija za zaštitu osetljivih akreditiva i laka je za upotrebu bez obzira na tehnološku pismenost.
LastPass nije kralj upravljanja lozinkama
Nema ništa loše u korišćenju LastPassa za čuvanje lozinki, jer je aplikacija generalno prilično bezbedna. Međutim, vredi razmotriti super sigurne alternative ako želite da osigurate da se vaše osetljive informacije čuvaju što je moguće efikasnije.