„LastPass“ yra gerai žinomas ir patikimas slaptažodžių saugos vardas, tačiau jo pažeidimų istorija gali priversti jus apsvarstyti alternatyvą.

Key Takeaways

  • „LastPass“ praeityje patyrė kelis duomenų pažeidimus, įskaitant vieną 2015 m., kai buvo atskleisti vartotojų el. pašto adresai ir pagrindiniai slaptažodžiai. Tačiau dauguma vartotojų, kurie naudojo papildomus saugos sluoksnius, greičiausiai buvo apsaugoti nuo pažeidimo.
  • „LastPass“ sulaukė kritikos 2021 m., kai buvo išsiaiškinta, kad jų „Android“ programoje yra trečiųjų šalių stebėjimo priemonių, o tai kelia susirūpinimą dėl saugumo. „LastPass“ atsakė teigdamas, kad stebėjimo priemonės buvo naudojamos programų telemetrijai ir naudotojai gali jas išjungti.
  • 2022 m. „LastPass“ patyrė didelį pažeidimą, kai užpuolikai pasiekė klientų duomenis ir naudotojo saugyklos informaciją. Dėl šio pažeidimo „LastPass“ ir jos pagrindinei bendrovei „GoTo“ atsirado papildomų pasekmių, įskaitant pavogtas šifruotas atsargines kopijas ir gauto šifravimo rakto įrodymus.
    • instagram viewer
  • Apskritai, nors LastPass paprastai laikomas saugiu, dėl daugybės pažeidimų ir saugumo incidentų kai kurie vartotojai ieško alternatyvių slaptažodžių tvarkytuvų, kurie nebuvo pažeisti.

Daugelis iš mūsų naudoja slaptažodžių tvarkykles, kad apsaugotų savo asmeninius duomenis, o LastPass yra viena iš populiariausių parinkčių. Tačiau „LastPass“ patyrė nemažą dalį duomenų pažeidimų, todėl klientų slaptai informacijai kilo pavojus.

Taigi, kiek kartų LastPass buvo nulaužtas ir ar vis dar saugu jį naudoti?

1. LastPass 2015 pažeidimas

Vaizdo kreditas: Ervins Strauhmanis/Flickr

Pirmasis LastPass įsilaužimas įvyko 2015 m. birželio mėn., praėjus septyneriems metams nuo įmonės įkūrimo. Šis rimtas pažeidimas atskleidė „LastPass“ vartotojų el. laiškus ir pagrindinius slaptažodžius, taip pat užuominas ar priminimo žodžius, naudojamus prisiminti pagrindinius slaptažodžius. Įsilaužimas buvo pastebėtas, kai LastPass pastebėjo įtartiną tinklo veiklą, kuri netrukus buvo užblokuota. Tačiau tam tikra žala jau buvo padaryta.

A nebegaliojantis pranešimas klientams (pasiekiama per interneto archyvą), LastPass informavo vartotojus, kad tie, kurie naudojo papildomus saugos sluoksnius, pvz., slaptažodžių maišą ir pasūdymą, greičiausiai buvo apsaugoti nuo įsilaužimo. Laimei, dauguma „LastPass“ vartotojų naudoja šiuos saugos metodus, o tai reiškia, kad tik maža dalis klientų galėjo būti paveikti.

„LastPass“ taip pat pareiškė, kad netiki, kad dėl atakos buvo pasiekta jokių vartotojų abonementų, tačiau paragino vartotojai gali patvirtinti savo el. pašto adresus ir atnaujinti bet kurią savaitę arba pakartotinai naudojamus pagrindinius slaptažodžius, kad padidintų saugumo.

Praėjus kelioms savaitėms po įsilaužimo, LastPass paskelbė tinklaraščio įrašą teigia, kad nuo įsilaužimo jos saugumas pagerėjo, o siekiant toliau apsaugoti klientus, buvo atlikta daugybė mažų ir didelių pakeitimų. Į šiuos pakeitimus buvo įtraukti aparatinės įrangos saugos moduliai (HSM), apsaugantys LastPass kriptografinę infrastruktūrą.

2. „LastPass 2021“ stebėjimo incidentas

Nors 2021 m. „LastPass“ nebuvo įsilaužta, iškilo problemų, kai buvo nustatyta, kad jos „Android“ programoje yra trečiųjų šalių stebėjimo priemonių. 2021 m. vasario mėn. saugos analizės programa, pavadinta „Exodus Privacy“, atskleidė, kad „LastPass Android“ programėlėje rado septynis sekiklius, o tai sukėlė vartotojų įtarimą. Saugumo tyrinėtojas Mike'as Kuketzas komentavo atradimą a Kuketz IT Security tinklaraščio įrašas, teigdamas, kad „visiškai iš piršto laužta integruoti [skelbimus ir stebėjimo priemones] į slaptažodžių tvarkyklės programas“.

Kuketz taip pat išvardijo septynis „Android“ programoje „LastPass“ esančius stebėjimo įrenginius, įskaitant „Google Analytics“, „Segment“ ir „AppsFlyer“ stebėjimo priemones. Prieigos prie rinkodaros analizės platformų suteikimą tokiu būdu pasmerkė Kuketzas, rašęs, kad „LastPass“ požiūris yra „labai abejotinas saugumo požiūriu“.

Kuketzas pabrėžė, kad „LastPass Android“ programą reikia patikrinti rankiniu būdu, kad būtų galima nustatyti, ar stebėjimo priemonės aktyviai stebi vartotojus. Tačiau Kuketz pastebėjo, kad vien stebėjimo priemonių buvimas yra bloga praktika programoje, kuriai reikia teikti pirmenybę saugumui.

Atsakydamas į šią kritiką, LastPass informavo vartotojus kad ji naudoja analizės įrankius. LastPass pabrėžė, kad tai buvo padaryta siekiant gauti įžvalgų apie „programos telemetriją, klaidų ir gedimų ataskaitų duomenis, taip pat aukšto lygio naudojimo statistinė informacija, siekiant galiausiai pagerinti bendrą [ programa]“.

Taip pat buvo nurodyta, kad „LastPass“ programos analitinis elementas buvo pasirenkama funkcija, kurią vartotojai galėjo išjungti išplėstiniuose nustatymuose. Tačiau nepaisant to, stebėjimo priemonių buvimas LastPass Android programoje paliko blogą skonį saugumo analitikų ir vartotojų burnoje.

3. „LastPass 2022“ pažeidimai

Prireikė šiek tiek laiko, kol „LastPass“ pateko į kitą kibernetinę ataką po pirminio 2015 m. Tačiau 2022 m. iš tikrųjų įvyko dar vienas išpuolis. Tai buvo ypač sunkūs „LastPass“ metai, kai pirmasis įsilaužimas rugpjūtį sukėlė smūgių bangas, kurios tęsis iki 2023 m.

2022 m. rugpjūčio pradžioje LastPass sužinojo apie pažeidimą, kai įsilaužėlis sukompromitavo LastPass kūrėjo nešiojamąjį kompiuterį, kad pavogtų šaltinio kodą ir pasiektų bendrovės debesų kūrimo platformą. Įsilaužėlis apėjo daugiafaktorinio autentifikavimo apsaugą inžinieriaus paskyroje, sėkmingai patvirtindamas save kaip naudotoją. Nors tai buvo labai susirūpinęs incidentas, įsilaužėlis negavo jokios kliento informacijos.

Tačiau po kelių mėnesių viskas pablogėjo. 2022 m. gruodį „LastPass“ paskelbė, kad rugpjūčio mėn. įsilaužimas leido užpuolikams patekti į jautresnes jos infrastruktūros sritis, kurios pirmą kartą buvo panaudotos lapkritį. Šį kartą, įsilaužėliai pasiekė LastPass klientų duomenis, įskaitant el. pašto ir IP adresus, telefono numerius ir vardus. Be to, buvo atskleisti tam tikros rūšies naudotojų saugyklos duomenys, įskaitant saugomus internetinių paskyrų naudotojų vardus ir slaptažodžius.

Nereikia nė sakyti, kad „LastPass“ dabar buvo labai karštame vandenyje ir viskas nesiliaus 2023 m.

2023 m. pasekmės

Nors 2023 m. neatnešė jokių naujų „LastPass“ įsilaužimų, jie atnešė vis daugiau nerimą keliančios informacijos apie 2022 m.

2023 m. sausį „LastPass“ pagrindinė įmonė „GoTo“ paskelbė pareiškimą apie 2022 m. įsilaužimų pasekmes. GoTo pareiškimas paaiškino, kad kai kurios kitos bendrovės paslaugos, įskaitant „Central“, „Hamachi“, „Pro“, „join.me“ ir „RemotelyAnywhere“, taip pat buvo nukreiptos užpuolikų per trečiosios šalies debesies saugojimo įrenginį. Iš šio įrenginio užpuolikai pavogė užšifruotas atsargines kopijas. Be to, „GoTo“ atskleidė, kad rado įrodymų, rodančių, kad kai kurioms pavogtoms atsarginėms kopijoms taip pat buvo prieinamas šifravimo raktas.

2023 m. vasarį LastPass vėl atsidūrė naujienų antraštėse, kai buvo atskleista, kad nuo pirmojo iki antrojo 2022 m. įsilaužimo užpuolikai ėmėsi daugiau kenkėjiškų veiksmų.

Kaip dokumentuota aukščiau esančiame X įraše, 2022 m. lapkričio mėn. įsilaužėliai sukompromitavo vyresniojo LastPass kūrėjo namų kompiuterį per programinės įrangos laikmenos pažeidžiamumą. Įsilaužę į kompiuterį, įsilaužėliai įdiegė klavišų kaupiklį, leidžiantį matyti, ką kūrėjas renka klaviatūra.

Tai suteikė užpuolikams prieigą prie kūrėjo LastPass įmonės saugyklos pagrindinio slaptažodžio, leidžiant užpuolikams pasiekti pačią saugyklą. Šokiruoja tai, kad tik keturi vyresni LastPass kūrėjai turėjo prieigą prie įmonės saugyklos, o užpuolikai vis tiek sugebėjo sėkmingai nusitaikyti į vieną tokį kūrėją.

Hakeriai taip pat pasinaudojo 2022 metais pavogtais vartotojo kredencialais, kad pavogtų 4,4 mln. USD kriptovaliutos 2023 m. spalį. Manoma, kad užpuolikai per antrąjį 2022 m. pažeidimą pasiekė kriptovaliutų piniginės pradines frazes ir raktus, leidžiančius jiems įsilaužti į pinigines ir atsiimti kriptovaliutą norimu adresu.

LastPass turi a visas duomenų, gautų per 2022 m. įsilaužimus, sąrašas jei norite pamatyti viską, kas buvo atskleista dėl 2022 m. įvykių.

Ar LastPass vis dar saugu naudoti?

Nors LastPass veikia nuo 2008 m., dauguma duomenų pažeidimų ir saugumo incidentų įvyko 2020 m. Atsižvelgiant į daugybę praeities saugumo problemų, natūralu, kad nerimaujate dėl „LastPass“ naudojimo, taigi, koks čia nuosprendis? Ar „LastPass“ saugu naudoti, ar turėtumėte pasirinkti ką nors kita?

Nors LastPass naudoti saugiau nei paprastą užrašų programą ar panašią saugojimo parinktį, šiandien gali būti geresnių slaptažodžių tvarkytuvų. Kadangi saugos įrašuose yra tiek daug klaidų, „LastPass“ daugeliui tapo nenaudinga, nes nežinoma, kada įvyks dar vienas pažeidimas. Kadangi 2022 m. sukelia tiek daug problemų „LastPass“ ir jos vartotojams, nenuostabu, kad kai kurie vartotojai šoktelėjo į laivą ir pasirinko slaptažodžių tvarkykles, į kurias dar nebuvo įsilaužta.

„Dashlane“ ir „NordPass“ yra tik du geros reputacijos slaptažodžių valdytojų, kurie niekada nebuvo patyrę saugumo pažeidimų, pavyzdžiai. todėl tikrai įmanoma rasti slaptažodžių tvarkyklę, kuri nebuvo atskleista klientų ar darbuotojų portalų įsilaužėlių.

Jei šiuo metu naudojate LastPass, bet norite eiti kitur, peržiūrėkite mūsų vadovą ištrinkite LastPass paskyrą. Taip pat turime patogų vadovą saugiausi slaptažodžių tvarkytojai jei reikia pagalbos renkantis pakaitalą.

Tačiau „LastPass“ saugumo incidentai nepaverčia jo nesaugiu slaptažodžių tvarkytuvu. Programa vis dar turi daug naudingų funkcijų, skirtų jautriems kredencialams apsaugoti, ir ja lengva naudotis, nepaisant technikos išmanymo.

LastPass nėra slaptažodžių valdymo karalius

Nėra nieko blogo naudojant LastPass slaptažodžiams saugoti, nes programa paprastai yra gana saugi. Tačiau verta atkreipti dėmesį į itin saugias alternatyvas, jei norite užtikrinti, kad jūsų neskelbtina informacija būtų saugoma kuo veiksmingiau.