Преглед садржаја
Кључне Такеаваис
- ЛастПасс је доживео вишеструке повреде података у прошлости, укључујући и ону из 2015. године која је разоткрила корисничке имејлове и главне лозинке. Међутим, већина корисника који су користили додатне безбедносне слојеве вероватно је била безбедна од кршења.
- ЛастПасс се суочио са критикама 2021. године када је откривено да њихова Андроид апликација садржи трагаче трећих страна, што је изазвало забринутост за безбедност. ЛастПасс је одговорио наводећи да се трагачи користе за телеметрију апликација и да их корисници могу онемогућити.
- ЛастПасс је доживео значајан пробој 2022. године, где су нападачи приступили подацима о клијентима и информацијама о трезору корисника. Ово кршење је довело до даљих последица за ЛастПасс и његову матичну компанију, ГоТо, укључујући украдене шифроване резервне копије и доказе о кључу за шифровање којем се приступа.
- Све у свему, док се ЛастПасс генерално сматра безбедним, вишеструка кршења и безбедносни инциденти навели су неке кориснике да траже алтернативне менаџере лозинки који нису компромитовани.
Многи од нас користе менаџере лозинки да би заштитили своје приватне податке, а ЛастПасс је једна од најпопуларнијих опција. Али ЛастПасс је претрпео велики део повреда података, доводећи осетљиве информације купаца у опасност.
Дакле, колико пута је ЛастПасс хакован и да ли је и даље безбедан за коришћење?
1. ЛастПасс 2015 Кршење
Кредит за слику: Ервинс Страухманис/Флицкр
Први ЛастПасс хак догодио се у јуну 2015, седам година након оснивања компаније. Ово озбиљно кршење открило је е-пошту и главне лозинке корисника ЛастПасс-а, као и наговештаје или речи подсетника који се користе за памћење главних лозинки. Хак је примећен када је ЛастПасс открио сумњиву мрежну активност, која је убрзо блокирана. Међутим, одређена штета је већ направљена.
У а сада истекла белешка за купце (доступно преко Интернет архиве), ЛастПасс је обавестио кориснике да су они који користе додатне безбедносне слојеве попут хеширања и слања лозинки вероватно безбедни од хаковања. Срећом, већина корисника ЛастПасс-а користи ове безбедносне методе, што значи да је само мали део купаца имао шансу да буде погођен.
ЛастПасс је такође навео да не верује да је приступ било ком корисничком налогу због напада, али је позвао кориснике да верификују своје адресе е-поште и обнове било коју недељу или да више пута користе главне лозинке за повећање безбедности.
Неколико недеља након хаковања, ЛастПасс је објавио пост на блогу наводећи да се његова безбедност побољшала од хаковања, уз низ малих и великих промена које су направљене да би се клијенти додатно заштитили. У ове промене је укључено и увођење хардверских безбедносних модула (ХСМ), који штите ЛастПасс-ову криптографску инфраструктуру.
2. Инцидент праћења ЛастПасс 2021
Иако ЛастПасс није хакован 2021. године, наишао је на проблеме када је откривено да његова Андроид апликација садржи трагаче трећих страна. У фебруару 2021, апликација за безбедносну анализу под називом Екодус Приваци открила је да је пронашла седам трагача у ЛастПасс Андроид апликацији, што је изазвало сумњу међу корисницима. Истраживач безбедности Мајк Кукец прокоментарисао је откриће у а Пост на блогу Кукетз ИТ Сецуритинаводећи да „потпуно не долази у обзир да се интегрише [ads and trackers] у апликације за управљање лозинкама.“
Кукетз је такође навео седам трагача пронађених у ЛастПасс Андроид апликацији, која је укључивала трагаче из Гоогле Аналитицс, Сегмент и АппсФлиер. Омогућавање приступа платформама за маркетиншку аналитику на овај начин осудио је Кукетз, који је написао да је ЛастПассов приступ „изузетно упитан у смислу безбедности“.
Кукетз је подвукао да је потребно ручно проверити апликацију ЛастПасс за Андроид да би се утврдило да ли трагачи активно прате кориснике. Међутим, Кукетз је приметио да је само присуство трагача лоша пракса за апликацију која треба да даје приоритет безбедности.
Као одговор на ову критику, ЛастПасс је обавестио кориснике да користи аналитичке алате. ЛастПасс је нагласио да је ово урађено како би се добио увид у „телеметрију апликације, податке о грешкама и кваровима, као и статистичке информације високог нивоа о коришћењу да би се на крају побољшале укупне перформансе, поузданост и употребљивост [the app].”
Такође је наведено да је аналитички елемент апликације ЛастПасс била опциона функција коју корисници могу да онемогуће у својим напредним подешавањима. Али без обзира на ово, присуство трагача у ЛастПасс Андроид апликацији оставило је лош укус у устима безбедносних аналитичара и корисника.
3. ЛастПасс 2022 кршења
Требало је неко време да ЛастПасс налети на још један сајбер напад након почетног инцидента из 2015. Али 2022. је заиста дошао још један напад. Ово је била посебно тешка година за ЛастПасс, са почетним хаком у августу који је изазвао ударне таласе који ће се наставити до 2023.
Почетком августа 2022. године, ЛастПасс је сазнао за пробој у којем је хакер компромитовао лаптоп програмера ЛастПасс да би украо изворни код и приступио развојној платформи компаније заснованој на облаку. Хакер је заобишао сигурност вишефакторске аутентификације на налогу инжењера тако што се успешно аутентификовао као корисник. Иако је ово био веома забрињавајући инцидент, хакер није преузео информације о клијентима.
Али неколико месеци касније, ствари су се погоршале. У децембру 2022. године, ЛастПасс је објавио да је хак у августу дао нападачима пут у осетљивије области његове инфраструктуре, први пут експлоатисане у новембру. Овог пута, хакери су приступили подацима о клијентима ЛастПасс-а, укључујући адресе е-поште и ИП адресе, бројеве телефона и имена. Поврх тога, откривене су одређене врсте података о корисничком трезору, укључујући сачувана корисничка имена и лозинке за онлајн налоге.
Непотребно је рећи да је ЛастПасс сада био у веома врућој води и ствари се неће зауставити 2023.
Последице 2023
Иако 2023. није донела нове хакове за ЛастПасс, донела је све више и више узнемирујућих информација о подвизима из 2022. године.
У јануару 2023., ЛастПасс-ова матична компанија, ГоТо, објавила је изјаву о последицама хакова из 2022. године. ГоТо-ова изјава објаснио је да су неколико других услуга компаније, укључујући Централ, Хамацхи, Про, јоин.ме и РемотелиАнивхере, такође биле на мети нападача путем уређаја за складиштење у облаку треће стране. Са овог уређаја нападачи су украли шифроване резервне копије. Штавише, ГоТо је открио да је пронашао доказе који сугеришу да је приступ кључу за шифровање за неке од украдених резервних копија.
У фебруару 2023. ЛастПасс се поново нашао у насловима вести када је откривено да су нападачи предузели више злонамерних радњи између првог и другог хаковања 2022.
Као што је документовано у Кс посту изнад, хакери из новембра 2022. компромитовали су кућни рачунар старијег ЛастПасс програмера преко рањивости софтверског медија. Након хаковања рачунара, хакери су инсталирали кеилоггер, омогућавајући им да виде шта је програмер куцао на њиховој тастатури.
Ово је омогућило нападачима приступ главној лозинки за корпоративни трезор програмера ЛастПасс, омогућавајући нападачима да приступе самом трезору. Оно што је овде шокантно је да су само четири ЛастПасс сениор програмера имала приступ корпоративном трезору, а нападачи су ипак успели да успешно циљају једног таквог програмера.
Хакери су такође користили корисничке акредитиве украдене 2022. да украду 4,4 милиона долара у криптовалути у октобру 2023. Сматра се да су нападачи приступили основним фразама и кључевима крипто новчаника у другом кршењу 2022., омогућавајући им да хакују новчанике и повуку криптовалуте на жељену вредност. адреса.
ЛастПасс има а пуна листа података којима се приступа у хаковима 2022 ако желите да видите све што је откривено због инцидената 2022.
Да ли је ЛастПасс и даље безбедан за употребу?
Иако је ЛастПасс у употреби од 2008. године, већина његових повреда података и безбедносних инцидената догодила се 2020-их. Имајући у виду вишеструке безбедносне проблеме у прошлости, природно је да се осећате мало нервозно због коришћења ЛастПасс-а, па каква је овде пресуда? Да ли је ЛастПасс безбедан за коришћење или би требало да се одлучите за нешто друго?
Иако је безбедније користити ЛастПасс од једноставне апликације за белешке или сличне опције за складиштење, можда данас постоје бољи менаџери лозинки. Са толико проблема у свом безбедносном запису, ЛастПасс је постао забрањен за многе, јер се не зна када ће доћи до још једног пробоја. С обзиром да је 2022. изазвала толико проблема за ЛастПасс и његове кориснике, није изненађење да су неки корисници прескочили, одлучујући се за менаџере лозинки који још нису хаковани.
Дасхлане и НордПасс су само два примера веома реномираних менаџера лозинки који никада нису претрпели кршење безбедности, тако да је сигурно могуће пронаћи менаџера лозинки чији подаци о клијентима или портали запослених нису били изложени хакерима.
Ако тренутно користите ЛастПасс, али желите да се упутите негде другде, погледајте наш водич за брисање вашег ЛастПасс налога. Такође имамо згодан водич о најсигурнијим менаџерима лозинки ако вам је потребна помоћ при одабиру замене.
Међутим, безбедносни инциденти ЛастПасс-а не чине га несигурним менаџером лозинки. Апликација и даље има много корисних функција за заштиту осетљивих акредитива и лака је за коришћење без обзира на технолошку памет.
ЛастПасс није краљ управљања лозинкама
Не постоји ништа лоше у коришћењу ЛастПасс-а за чување лозинки, јер је апликација генерално прилично безбедна. Међутим, вреди напоменути супер безбедне алтернативе ако желите да обезбедите да се ваше осетљиве информације чувају што је могуће ефикасније.