Kolikrát byl LastPass hacknut a je jeho používání stále bezpečné?

Zásadní body

  • Společnost LastPass v minulosti zaznamenala několik bezpečnostních incidentů, včetně toho z roku 2015, kdy unikly e-mailové adresy uživatelů a jejich hlavní hesla. Nicméně uživatelé, kteří využívali dodatečné bezpečnostní prvky, byli pravděpodobně před narušením chráněni.
  • V roce 2021 byla aplikace LastPass pro Android kritizována za obsahování sledovacích prvků třetích stran, což vyvolalo obavy o soukromí. LastPass reagoval prohlášením, že tyto sledovače slouží k telemetrii aplikací a uživatelé je mohou deaktivovat.
  • Významný únik dat postihl LastPass v roce 2022, kdy se útočníci dostali k zákaznickým datům a informacím uloženým v uživatelských trezorech. Tato událost měla pro LastPass a jeho mateřskou společnost GoTo rozsáhlé následky, včetně krádeže šifrovaných záloh a důkazů o kompromitovaném šifrovacím klíči.
  • I přes obecné vnímání LastPass jako bezpečného nástroje, četné narušení bezpečnosti vedly některé uživatele k hledání alternativních správců hesel, kteří se s podobnými incidenty nepotýkají.

Správci hesel, jako je LastPass, slouží mnoha lidem k uchování citlivých dat v bezpečí. Nicméně LastPass se stal terčem několika úniků dat, což ohrozilo citlivé informace uživatelů.

Kolikrát tedy byl LastPass napaden a je jeho používání stále bezpečné?

1. Incident LastPass 2015

Obrázek: Ervins Strauhmanis/Flickr

První hackerský útok na LastPass proběhl v červnu 2015, sedm let po založení společnosti. Během tohoto závažného narušení byly odhaleny e-mailové adresy uživatelů, hlavní hesla a také pomocné fráze či nápovědy pro zapamatování hlavních hesel. Útok byl zaznamenán v momentě, kdy LastPass detekoval podezřelou síťovou aktivitu, kterou se mu brzy podařilo zablokovat. Některé škody však již byly napáchány.

Ve zprávě pro zákazníky (dostupné přes webový archiv), LastPass informoval, že uživatelé, kteří používali dodatečné bezpečnostní mechanismy, jako je hašování a solení hesel, byli před útokem pravděpodobně v bezpečí. Většina uživatelů LastPass tyto bezpečnostní metody skutečně používala, což minimalizovalo dopad na zákazníky.

LastPass také uvedl, že se nedomnívá, že by v důsledku útoku došlo k ohrožení uživatelských účtů. Nicméně doporučil uživatelům, aby ověřili své e-mailové adresy a pravidelně aktualizovali či obměňovali svá hlavní hesla.

Několik týdnů po útoku LastPass publikoval blogový příspěvek, ve kterém informoval o zlepšení zabezpečení a provedení mnoha menších i větších úprav pro lepší ochranu zákazníků. Součástí těchto změn bylo i zavedení hardwarových bezpečnostních modulů (HSM), které chrání kryptografickou infrastrukturu LastPass.

2. Incident s trackingem LastPass 2021

Ačkoliv v roce 2021 nedošlo k hackerskému útoku, LastPass se dostal do problémů s odhalením přítomnosti sledovacích prvků třetích stran v jeho aplikaci pro Android. Analytická společnost Exodus Privacy v únoru 2021 odhalila v aplikaci sedm sledovačů, což vyvolalo obavy uživatelů. Bezpečnostní expert Mike Kuketz se k objevu vyjádřil v blogovém příspěvku Kuketz IT Security s tím, že „integrace [reklam a sledovačů] do aplikací pro správu hesel je zcela nevhodná.“

Kuketz také identifikoval sledovače z Google Analytics, Segment a AppsFlyer. Zpřístupnění těchto dat marketingovým platformám Kuketz odsoudil s tím, že tento postup LastPass je z hlediska bezpečnosti „vysoce problematický“.

Kuketz zdůraznil, že je nutné manuálně ověřit, zda sledovací prvky v aplikaci pro Android aktivně sledují uživatele. Nicméně samotná přítomnost těchto sledovačů je dle Kuketze pro aplikaci, která by měla bezpečnost považovat za prioritu, špatný krok.

V reakci na kritiku LastPass informoval uživatele o používání analytických nástrojů. Zdůraznil, že cílem je získat přehled o „telemetrii aplikací, údajích o chybách a hlášeních o haváriích, stejně jako o statistických údajích o používání na vysoké úrovni, aby se v konečném důsledku zlepšil celkový výkon, spolehlivost a použitelnost [aplikace].“

Bylo rovněž uvedeno, že analytická funkce aplikace je volitelná a uživatelé ji mohou deaktivovat v pokročilém nastavení. Přesto přítomnost sledovacích prvků v aplikaci LastPass pro Android zanechala mezi odborníky na bezpečnost i uživateli hořkou pachuť.

3. Úniky dat LastPass 2022

Po prvním incidentu v roce 2015 trvalo nějaký čas, než se LastPass stal terčem dalšího kybernetického útoku. V roce 2022 však k dalšímu útoku skutečně došlo. Pro LastPass to byl obzvláště náročný rok, přičemž první útok v srpnu způsobil otřesy, které pokračovaly až do roku 2023.

Počátkem srpna 2022 se společnost LastPass dozvěděla o narušení, kdy hacker kompromitoval notebook vývojáře LastPass, ukradl zdrojový kód a získal přístup k cloudové vývojové platformě společnosti. Hacker obešel vícefaktorové ověření účtu jednoho z inženýrů, když se úspěšně vydával za oprávněného uživatele. Přestože se jednalo o velmi znepokojivý incident, hacker se nedostal k žádným zákaznickým datům.

O několik měsíců později se však situace zhoršila. V prosinci 2022 LastPass oznámil, že srpnový útok umožnil útočníkům proniknout do citlivějších oblastí infrastruktury společnosti, poprvé zneužité v listopadu. Tentokrát se hackeři dostali k zákaznickým datům, včetně e-mailových a IP adres, telefonních čísel a jmen. Kromě toho byly odhaleny i některé druhy dat z uživatelských trezorů, včetně uložených uživatelských jmen a hesel k online účtům.

Není třeba dodávat, že LastPass se ocitl ve velmi nepříjemné situaci, a problémy pokračovaly i v roce 2023.

Následky roku 2023

Přestože rok 2023 nepřinesl žádné nové hacky, přinesl stále znepokojivější informace o důsledcích incidentů roku 2022.

V lednu 2023 vydala mateřská společnost LastPass, GoTo, prohlášení o důsledcích útoků z roku 2022. Prohlášení GoTo vysvětlilo, že se útočníci zaměřili i na další služby společnosti, včetně Central, Hamachi, Pro, join.me a RemotelyAnywhere, prostřednictvím cloudového úložiště třetí strany. Z tohoto úložiště útočníci ukradli šifrované zálohy. GoTo navíc odhalilo, že získalo důkazy, které naznačují, že útočníci měli přístup i k šifrovacímu klíči pro některé z ukradených záloh.

V únoru 2023 se LastPass znovu dostal do titulků, když se ukázalo, že mezi prvním a druhým útokem v roce 2022 útočníci provedli další škodlivé akce.

Jak je popsáno ve výše uvedeném příspěvku na síti X, hackeři z listopadu 2022 se dostali do domácího počítače jednoho ze starších vývojářů LastPass prostřednictvím zranitelnosti softwaru. Po napadení počítače hackeři nainstalovali keylogger, který jim umožnil sledovat, co vývojář píše na klávesnici.

To umožnilo útočníkům získat přístup k hlavnímu heslu firemního trezoru LastPass tohoto vývojáře, a tím i k samotnému trezoru. Je šokující, že k firemnímu trezoru měli přístup pouze čtyři starší vývojáři LastPass, a útočníci se přesto zaměřili na jednoho z nich.

Hackeři také použili přihlašovací údaje ukradené v roce 2022 k tomu, aby v říjnu 2023 odcizili kryptoměny v hodnotě 4,4 milionu dolarů. Předpokládá se, že útočníci získali přístup k počátečním frázím a klíčům kryptoměnové peněženky během druhého incidentu v roce 2022, což jim umožnilo neoprávněný přístup do peněženek a stažení kryptoměny.

LastPass má úplný seznam dat, ke kterým se dostali útočníci během útoků v roce 2022, pokud máte zájem o podrobnější informace.

Je LastPass stále bezpečný?

Přestože LastPass funguje již od roku 2008, většina bezpečnostních incidentů se odehrála po roce 2020. Vzhledem k četným minulým problémům je pochopitelné, že někteří uživatelé mají obavy z používání LastPass. Jaký je tedy verdikt? Je používání LastPass bezpečné, nebo byste měli zvážit alternativu?

I když je bezpečnější používat LastPass než jednoduchou aplikaci pro poznámky či podobný způsob ukládání hesel, existují dnes lepší správci hesel. Vzhledem k bezpečnostním problémům z minulosti se LastPass pro mnohé stal nepoužitelným, jelikož nikdo nemůže vědět, kdy dojde k dalšímu úniku dat. S ohledem na problémy, které rok 2022 způsobil LastPass a jeho uživatelům, není divu, že někteří uživatelé přešli ke správcům hesel, kteří dosud nebyli napadeni.

Dashlane a NordPass jsou dva příklady uznávaných správců hesel, kteří dosud nezaznamenali narušení bezpečnosti. Určitě je tedy možné najít správce, který neohrozil zákaznická data či firemní systémy.

Pokud LastPass v současnosti používáte, ale chcete přejít jinam, podívejte se na našeho průvodce, jak smazat účet LastPass. Nabízíme i užitečného průvodce nejbezpečnějšími správci hesel, který vám pomůže při výběru alternativy.

Nicméně bezpečnostní incidenty LastPass z něj nedělají automaticky nebezpečného správce hesel. Aplikace má stále mnoho užitečných funkcí pro ochranu citlivých přihlašovacích údajů a je snadno použitelná bez ohledu na technickou zdatnost uživatele.

LastPass není král správců hesel

Není nic špatného na používání LastPass pro ukládání hesel, protože aplikace je obecně považována za bezpečnou. Nicméně stojí za zvážení i super bezpečné alternativy, pokud chcete zajistit, že vaše citlivé údaje budou uloženy co nejefektivněji.