Table of Contents
Klíčové věci
- LastPass v minulosti zažil několik úniků dat, včetně jednoho v roce 2015, který odhalil uživatelské e-maily a hlavní hesla. Nicméně většina uživatelů, kteří využívali další bezpečnostní vrstvy, byla pravděpodobně v bezpečí před narušením.
- LastPass čelil kritice v roce 2021, když se zjistilo, že jejich aplikace pro Android obsahuje sledovače třetích stran, což vyvolává obavy o bezpečnost. LastPass reagoval prohlášením, že sledovače byly používány pro telemetrii aplikací a uživatelé je mohli deaktivovat.
- LastPass zaznamenal významné porušení v roce 2022, kdy útočníci získali přístup k zákaznickým datům a informacím z trezoru uživatelů. Toto porušení vedlo k dalším důsledkům pro LastPass a jeho mateřskou společnost GoTo, včetně odcizených šifrovaných záloh a důkazů o přístupném šifrovacím klíči.
- Celkově, zatímco LastPass je obecně považován za bezpečný, četná porušení a bezpečnostní incidenty vedly některé uživatele k hledání alternativních správců hesel, které nebyly kompromitovány.
Mnoho z nás používá správce hesel, aby udrželi svá soukromá data v bezpečí, přičemž LastPass je jednou z nejoblíbenějších možností. LastPass však utrpěl spravedlivý podíl na porušení dat, což ohrožuje citlivé informace zákazníků.
Kolikrát byl tedy LastPass napaden a je stále bezpečné jej používat?
1. Porušení LastPass 2015
Obrazový kredit: Ervins Strauhmanis/Flickr
K prvnímu hacknutí LastPass došlo v červnu 2015, sedm let po založení společnosti. Toto vážné narušení odhalilo e-maily a hlavní hesla uživatelů LastPass, stejně jako nápověda nebo slova připomenutí používaná k zapamatování hlavních hesel. Hack byl zaznamenán, když LastPass zachytil podezřelou síťovou aktivitu, která byla brzy zablokována. Některé škody však již byly způsobeny.
V nyní vypršená poznámka pro zákazníky (dostupné prostřednictvím internetového archivu), LastPass informoval uživatele, že ti, kteří používali další bezpečnostní vrstvy, jako je hašování a solení svých hesel, byli pravděpodobně v bezpečí před hackem. Naštěstí většina uživatelů LastPass používá tyto bezpečnostní metody, což znamená, že pouze malá část zákazníků měla šanci, že budou ovlivněni.
LastPass také uvedl, že se nedomnívá, že v důsledku útoku byl přístup k žádným uživatelským účtům, ale vyzval uživatele, aby ověřili své e-mailové adresy a obnovili je každý týden, nebo opakovaně používali hlavní hesla pro zvýšení bezpečnosti.
Několik týdnů po hacku, LastPass zveřejnil blogový příspěvek uvádějící, že jeho zabezpečení se od hacknutí zlepšilo a byla provedena řada malých i velkých změn, aby byly zákazníky dále chráněny. Součástí těchto změn bylo zavedení hardwarových bezpečnostních modulů (HSM), které chrání kryptografickou infrastrukturu LastPass.
2. LastPass 2021 Tracking Incident
Přestože LastPass nebyl v roce 2021 hacknut, narazil na problémy, když bylo zjištěno, že jeho aplikace pro Android obsahuje sledovače třetích stran. V únoru 2021 aplikace pro analýzu zabezpečení s názvem Exodus Privacy odhalila, že v aplikaci LastPass pro Android našla sedm sledovačů, což mezi uživateli vyvolalo podezření. Bezpečnostní výzkumník Mike Kuketz komentoval objev v a Příspěvek na blogu Kuketz IT Securitys tím, že „je zcela vyloučeno integrovat [ads and trackers] do aplikací pro správu hesel.“
Kuketz také uvedl sedm sledovačů nalezených v aplikaci LastPass pro Android, která zahrnovala sledovače z Google Analytics, Segment a AppsFlyer. Poskytování přístupu k platformám marketingové analýzy tímto způsobem odsoudil Kuketz, který napsal, že přístup LastPass je „extrémně sporný z hlediska bezpečnosti“.
Kuketz zdůraznil, že aplikaci LastPass pro Android je třeba ručně zkontrolovat, aby bylo možné zjistit, zda sledovači aktivně sledují uživatele. Přítomnost samotných sledovačů však Kuketz zaznamenal jako špatný postup pro aplikaci, která musí upřednostňovat zabezpečení.
V reakci na tuto kritiku LastPass informoval uživatele že používá analytické nástroje. LastPass zdůraznil, že to bylo provedeno s cílem získat přehled o „aplikační telemetrii, údajích o chybách a hlášeních o haváriích, stejně jako o statistických informacích o používání na vysoké úrovni, aby se v konečném důsledku zlepšil celkový výkon, spolehlivost a použitelnost [the app].“
Bylo také uvedeno, že analytický prvek aplikace LastPass je volitelná funkce, kterou mohou uživatelé deaktivovat v pokročilých nastaveních. Ale bez ohledu na to přítomnost sledovačů v aplikaci LastPass pro Android zanechala špatnou pachuť v ústech bezpečnostních analytiků a uživatelů.
3. Porušení LastPass 2022
Po počátečním incidentu v roce 2015 trvalo nějakou dobu, než LastPass narazil na další kybernetický útok. Ale v roce 2022 skutečně přišel další útok. Pro LastPass to byl obzvláště těžký rok, přičemž první hack v srpnu způsobil rázové vlny, které budou pokračovat do roku 2023.
Začátkem srpna 2022 se společnost LastPass dozvěděla o narušení, kdy hacker kompromitoval notebook vývojáře LastPass, aby ukradl zdrojový kód a získal přístup k cloudové vývojové platformě společnosti. Hacker obešel zabezpečení vícefaktorové autentizace na účtu inženýra tím, že se úspěšně autentizoval jako uživatel. Přestože se jednalo o velmi znepokojivý incident, hacker nezískal žádné informace o zákaznících.
Ale o pár měsíců později se věci zhoršily. V prosinci 2022 LastPass oznámil, že srpnový hack umožnil útočníkům cestu do citlivějších oblastí její infrastruktury, která byla poprvé zneužita v listopadu. Tentokrát se hackeři dostali k datům zákazníků LastPass, včetně e-mailových a IP adres, telefonních čísel a jmen. Kromě toho byly vystaveny určité druhy dat uživatelského trezoru, včetně uložených uživatelských jmen a hesel pro online účty.
Netřeba dodávat, že LastPass byl nyní ve velmi horké vodě a věci se nezastaví v roce 2023.
Následky roku 2023
Ačkoli rok 2023 nepřinesl žádné nové hacky pro LastPass, přinesl stále více znepokojivých informací o exploitech roku 2022.
V lednu 2023 vydala mateřská společnost LastPass, GoTo, prohlášení o důsledcích hacků z roku 2022. prohlášení GoTo vysvětlil, že několik dalších služeb společnosti, včetně Central, Hamachi, Pro, join.me a RemotelyAnywhere, bylo také cílem útočníků prostřednictvím cloudového úložiště třetí strany. Z tohoto zařízení útočníci ukradli šifrované zálohy. A co víc, GoTo odhalilo, že našlo důkazy naznačující, že byl přístupný také šifrovací klíč pro některé z ukradených záloh.
V únoru 2023 se LastPass znovu ocitl v titulcích zpráv, když se ukázalo, že mezi prvním a druhým hackem v roce 2022 útočníci podnikli další škodlivé akce.
Jak je zdokumentováno v příspěvku X výše, hackeři z listopadu 2022 ohrozili domácí počítač staršího vývojáře LastPass prostřednictvím zranitelnosti softwarových médií. Po hacknutí počítače hackeři nainstalovali keylogger, který jim umožnil zobrazit, co vývojář píše na jejich klávesnici.
To umožnilo útočníkům přístup k hlavnímu heslu firemního trezoru LastPass vývojáře, což útočníkům umožnilo přístup k samotnému trezoru. Šokující je, že do firemního trezoru měli přístup pouze čtyři starší vývojáři LastPass a útočníkům se přesto podařilo úspěšně zacílit na jednoho takového vývojáře.
Hackeři také použili přihlašovací údaje odcizené v roce 2022, aby v říjnu 2023 ukradli kryptoměnu ve výši 4,4 milionu dolarů. Předpokládá se, že útočníci získali přístup k počátečním frázím a klíčům kryptopeněženky při druhém porušení v roce 2022, což jim umožnilo nabourat se do peněženek a stáhnout kryptoměny podle svého přání. adresa.
LastPass má a úplný seznam dat, ke kterým se přistupovalo v hackech z roku 2022 pokud byste chtěli vidět vše, co bylo odhaleno kvůli incidentům v roce 2022.
Je používání LastPass stále bezpečné?
Přestože LastPass je v provozu od roku 2008, k většině porušení dat a bezpečnostních incidentů došlo v roce 2020. Vzhledem k četným minulým bezpečnostním problémům je přirozené cítit se trochu nervózní z používání LastPass, takže jaký je zde verdikt? Je používání LastPass bezpečné, nebo byste se měli rozhodnout pro něco jiného?
I když je bezpečnější používat LastPass než jednoduchou aplikaci pro poznámky nebo podobnou možnost úložiště, dnes mohou existovat lepší správci hesel. S tolika nepříjemnostmi na svém bezpečnostním záznamu se LastPass stal pro mnohé nepřístupným, protože nikdo neví, kdy dojde k dalšímu narušení. Vzhledem k tomu, že rok 2022 způsobuje LastPass a jeho uživatelům tolik problémů, není žádným překvapením, že někteří uživatelé přeskočili a zvolili správce hesel, kteří ještě nebyli napadeni.
Dashlane a NordPass jsou jen dva příklady vysoce uznávaných správců hesel, kteří nikdy neutrpěli porušení zabezpečení, takže je jistě možné najít správce hesel, který neměl svá zákaznická data nebo zaměstnanecké portály vystaveny hackerům.
Pokud aktuálně používáte LastPass, ale chcete jít jinam, podívejte se na našeho průvodce smazáním účtu LastPass. Máme také užitečného průvodce nejbezpečnějšími správci hesel, pokud potřebujete pomoc s výběrem náhrady.
Bezpečnostní incidenty LastPass z něj však nedělají nebezpečného správce hesel. Aplikace má stále mnoho užitečných funkcí pro ochranu citlivých přihlašovacích údajů a snadno se používá bez ohledu na technickou vyspělost.
LastPass není králem správy hesel
Na používání LastPass k ukládání hesel není nic špatného, protože aplikace je obecně docela bezpečná. Nicméně stojí za zmínku super bezpečné alternativy, pokud chcete zajistit, aby vaše citlivé informace byly uloženy co nejefektivněji.