LastPass on parooliturbe valdkonnas tuntud ja usaldusväärne nimi, kuid selle rikkumiste ajalugu võib panna teid kaaluma alternatiivi.

Võtmed kaasavõtmiseks

  • LastPass on minevikus kogenud mitmeid andmetega seotud rikkumisi, sealhulgas üks 2015. aastal, mis paljastas kasutajate meilid ja põhiparoolid. Enamik kasutajaid, kes kasutasid täiendavaid turbekihte, olid aga tõenäoliselt rikkumise eest kaitstud.
  • LastPassi kritiseeriti 2021. aastal, kui avastati, et nende Androidi rakendus sisaldas kolmanda osapoole jälgijaid, tekitades muret turvalisuse pärast. LastPass vastas, et jälgijaid kasutati rakenduste telemeetria jaoks ja kasutajad võivad need keelata.
  • LastPass koges 2022. aastal märkimisväärset rikkumist, kus ründajad pääsesid ligi kliendiandmetele ja kasutajahoidlate teabele. See rikkumine tõi LastPassile ja selle emaettevõttele GoTo kaasa täiendavaid tagajärgi, sealhulgas varastatud krüptitud varukoopiaid ja tõendeid krüpteerimisvõtme kohta.
  • Üldiselt, kuigi LastPassi peetakse üldiselt turvaliseks, on mitmed rikkumised ja turvaintsidendid pannud mõned kasutajad otsima alternatiivseid paroolihaldureid, mida pole ohustatud.
    instagram viewer

Paljud meist kasutavad oma privaatsete andmete turvalisuse tagamiseks paroolihaldureid, kusjuures LastPass on üks populaarsemaid valikuid. Kuid LastPass on kannatanud oma õiglase osa andmerikkumiste tõttu, seades ohtu klientide tundliku teabe.

Niisiis, mitu korda on LastPassi häkitud ja kas selle kasutamine on endiselt ohutu?

1. LastPass 2015 rikkumine

Pildi krediit: Ervins Strauhmanis/Flickr

Esimene LastPassi häkkimine leidis aset 2015. aasta juunis, seitse aastat pärast ettevõtte asutamist. See tõsine rikkumine paljastas LastPassi kasutajate e-kirjad ja põhiparoolid, samuti vihjed või meeldetuletussõnad, mida kasutati põhiparoolide meelespidamiseks. Häkkimist märgati, kui LastPass tuvastas kahtlase võrgutegevuse, mis peagi blokeeriti. Teatud kahju oli aga juba tehtud.

Sees nüüdseks aegunud teade klientidele (saadaval Interneti-arhiivi kaudu) teavitas LastPass kasutajaid, et need, kes kasutasid oma paroolidele täiendavaid turvakihte, nagu räsimine ja soolamine, olid tõenäoliselt häkkimise eest kaitstud. Õnneks kasutab enamik LastPassi kasutajaid neid turbemeetodeid, mis tähendab, et ainult väikesel osal klientidest oli võimalus neid mõjutada.

LastPass teatas ka, et ta ei usu, et rünnaku tõttu pääseti juurde ühelegi kasutajakontole, kuid soovitas tungivalt kasutajad peavad oma e-posti aadresse kinnitama ja uuendama igal nädalal või korduvalt kasutatud peaparoolid turvalisus.

Mõni nädal pärast häkkimist LastPass avaldas ajaveebi postituse märkides, et selle turvalisus on pärast häkkimist paranenud ning klientide edasiseks kaitsmiseks on tehtud rida väikeseid ja suuri muudatusi. Need muudatused hõlmasid ka riistvara turvamoodulite (HSM-ide) kasutuselevõttu, mis kaitsevad LastPassi krüptograafilist infrastruktuuri.

2. LastPass 2021 jälgimisjuhtum

Kuigi LastPassi 2021. aastal ei häkitud, tekkisid sellega probleemid, kui leiti, et selle Androidi rakendus sisaldas kolmanda osapoole jälgijaid. 2021. aasta veebruaris paljastas turvaanalüüsi rakendus nimega Exodus Privacy, et leidis Androidi LastPassi rakendusest seitse jälgijat, mis tekitas kasutajates kahtlusi. Turvauurija Mike Kuketz kommenteeris avastust a Kuketz IT Security ajaveebi postitus, väites, et "[reklaamide ja jälgijate] integreerimine paroolihalduri rakendustesse on täiesti välistatud."

Kuketz loetles ka seitset Androidi rakendusest LastPass leitud jälgijat, mis hõlmasid Google Analyticsi, Segmendi ja AppsFlyeri jälgijaid. Sel viisil turundusanalüütika platvormidele juurdepääsu andmise mõistis hukka Kuketz, kes kirjutas, et LastPassi lähenemine on "turvalisuse mõttes äärmiselt küsitav".

Kuketz rõhutas, et LastPassi Androidi rakendust tuleb käsitsi kontrollida, et teha kindlaks, kas jälgijad jälgivad aktiivselt kasutajaid. Ainuüksi jälgijate olemasolu märkis Kuketz aga halvaks tavaks rakenduse jaoks, mis peab turvalisuse prioriteediks seadma.

Vastuseks sellele kriitikale LastPass teavitas kasutajaid et see kasutab analüüsitööriistu. LastPass rõhutas, et seda tehti selleks, et saada ülevaade "rakenduse telemeetriast, vigade ja krahhide aruandluse andmetest, samuti kõrgetasemelist kasutusstatistilist teavet, et lõpuks parandada [the rakendus]."

Samuti märgiti, et rakenduse LastPass analüüsielement oli valikuline funktsioon, mille kasutajad said oma täpsemates seadetes keelata. Kuid sellest hoolimata jättis jälgijate olemasolu LastPassi Androidi rakenduses turvaanalüütikute ja kasutajate suhu halva maitse.

3. LastPass 2022 rikkumised

Pärast 2015. aasta esialgset intsidenti kulus LastPassil veidi aega, et sattuda järjekordsele küberrünnakule. Kuid 2022. aastal tuli tõepoolest veel üks rünnak. See oli LastPassi jaoks eriti karm aasta, mille esialgne sissemurdmine augustis põhjustas lööklaineid, mis jätkusid 2023. aastal.

2022. aasta augusti alguses sai LastPass teadlikuks rikkumisest, mille käigus häkker oli ohustanud LastPassi arendaja sülearvuti, et varastada lähtekoodi ja pääseda ligi ettevõtte pilvepõhisele arendusplatvormile. Häkker läks mööda inseneri konto mitmefaktorilise autentimise turvalisusest, autentides end edukalt kasutajana. Kuigi see oli väga murettekitav juhtum, ei leidnud häkker klienditeavet.

Kuid paar kuud hiljem läks asi hullemaks. 2022. aasta detsembris teatas LastPass, et augustikuine häkkimine andis ründajatele võimaluse oma infrastruktuuri tundlikumatesse piirkondadesse, mida kasutati esmakordselt novembris. Seekord, häkkerid pääsesid juurde LastPassi kliendiandmetele, sealhulgas e-posti ja IP-aadressid, telefoninumbrid ja nimed. Lisaks avalikustati teatud tüüpi kasutajahoidla andmed, sealhulgas veebikontode salvestatud kasutajanimed ja paroolid.

Ütlematagi selge, et LastPass oli nüüd väga kuumas vees ja asjad ei peatu 2023. aastal.

2023. aasta järelmõjud

Kuigi 2023. aasta LastPassi jaoks uusi häkkereid ei toonud, tõi see 2022. aasta ärakasutamiste kohta üha rohkem muret tekitavat teavet.

2023. aasta jaanuaris avaldas LastPassi emaettevõte GoTo avalduse 2022. aasta häkkimise tagajärgede kohta. GoTo avaldus selgitas, et mitmed ettevõtte muud teenused, sealhulgas Central, Hamachi, Pro, join.me ja RemotelyAnywhere, olid ründajate sihtmärgiks ka kolmanda osapoole pilvesalvestusseadme kaudu. Sellest seadmest varastasid ründajad krüptitud varukoopiaid. Veelgi enam, GoTo paljastas, et leidis tõendeid, mis viitavad sellele, et mõne varastatud varukoopia krüpteerimisvõtmele pääseti juurde.

2023. aasta veebruaris sattus LastPass taas uudiste pealkirjadesse, kui selgus, et 2022. aasta esimese ja teise häkkimise vahel olid ründajad sooritanud rohkem pahatahtlikke tegusid.

Nagu ülaltoodud X-postituses dokumenteeritud, 2022. aasta novembri häkkerid ohustas LastPassi vanemarendaja koduarvutit tarkvarameediumi haavatavuse kaudu. Pärast arvuti häkkimist installisid häkkerid klahvilogija, mis võimaldab neil vaadata, mida arendaja klaviatuuril kirjutas.

See andis ründajatele juurdepääsu arendaja LastPassi ettevõtte varahoidla peaparoolile, võimaldades ründajatel varale endale juurde pääseda. Siin on šokeeriv see, et ainult neljal LastPassi vanemarendajal oli juurdepääs ettevõtte varahoidlale ja ründajatel õnnestus ikkagi üks selline arendaja edukalt sihikule võtta.

Häkkerid kasutasid ka 2022. aastal varastatud kasutajaandmeid, et varastada 2023. aasta oktoobris 4,4 miljonit dollarit krüptovaluutat. Arvatakse, et ründajad pääsesid teises 2022. aasta rikkumises ligi krüptorahakoti algfraasidele ja võtmetele, võimaldades neil rahakottidesse sisse murda ja krüpto soovitud aadressile välja võtta.

LastPassil on a 2022. aasta häkkimiste käigus juurdepääsetavate andmete täielik loetelu kui soovite näha kõike, mis 2022. aasta juhtumite tõttu paljastati.

Kas LastPassi kasutamine on endiselt ohutu?

Kuigi LastPass on olnud kasutusel alates 2008. aastast, on enamik selle andmetega seotud rikkumisi ja turvaintsidente aset leidnud 2020. aastatel. Arvestades selle mitmeid varasemaid turvaprobleeme, on loomulik, et tunnete LastPassi kasutamise pärast pisut närvilist, nii et milline on siin otsus? Kas LastPassi kasutamine on ohutu või peaksite valima midagi muud?

Kuigi LastPassi on turvalisem kasutada kui lihtsat märkmerakendust või sarnast salvestusvõimalust, võib tänapäeval olla paremaid paroolihaldureid. Kuna LastPassi turvaregistris on nii palju tõrkeid, on LastPass muutunud paljude jaoks keelatud, kuna pole teada, millal uus rikkumine toimub. Kuna 2022. aasta põhjustab LastPassi ja selle kasutajate jaoks nii palju probleeme, pole üllatav, et mõned kasutajad on hüppanud, valides paroolihaldurid, mida pole veel häkitud.

Dashlane ja NordPass on vaid kaks näidet väga mainekatest paroolihalduritest, kes pole kunagi kannatanud turvarikkumiste all. seega on kindlasti võimalik leida paroolihaldur, mille kliendiandmed või töötajate portaalid pole kokku puutunud häkkerid.

Kui kasutate praegu LastPassi, kuid soovite mujale minna, vaadake meie juhendit LastPassi konto kustutamine. Meil on ka mugav juhend turvalisemad paroolihaldurid kui vajate abi asendaja valimisel.

LastPassi turvaintsidendid ei tee sellest aga ebaturvalist paroolihaldurit. Rakendusel on endiselt palju kasulikke funktsioone tundlike mandaatide kaitsmiseks ja seda on lihtne kasutada olenemata tehnilistest teadmistest.

LastPass ei ole paroolihalduse kuningas

LastPassi kasutamisel paroolide salvestamiseks pole midagi halba, kuna rakendus on üldiselt üsna turvaline. Siiski tasub tähelepanu pöörata üliturvalistele alternatiividele, kui soovite tagada, et teie tundlikku teavet salvestatakse võimalikult tõhusalt.