Koliko je puta LastPass bio hakiran i je li još uvijek siguran za korištenje?

Ključni zahvati

• LastPass je doživio višestruke povrede podataka u prošlosti, uključujući onu 2015. koja je otkrila korisničku e-poštu i glavne lozinke. Međutim, većina korisnika koji su koristili dodatne sigurnosne slojeve vjerojatno je bila sigurna od provale.
• LastPass se suočio s kritikama 2021. kada je otkriveno da njihova Android aplikacija sadrži trekere trećih strana, što je izazvalo zabrinutost za sigurnost. LastPass je odgovorio navodeći da su se trackeri koristili za telemetriju aplikacija i da bi ih korisnici mogli onemogućiti.
• LastPass je doživio značajan proboj 2022., gdje su napadači pristupili korisničkim podacima i informacijama o korisničkom trezoru. Ovo kršenje dovelo je do daljnjih posljedica za LastPass i njegovu matičnu tvrtku, GoTo, uključujući ukradene šifrirane sigurnosne kopije i dokaze o pristupu ključu za šifriranje.
• Općenito, iako se LastPass općenito smatra sigurnim, višestruka kršenja i sigurnosni incidenti naveli su neke korisnike da traže alternativne upravitelje lozinkama koji nisu bili ugroženi.
  instagram viewer

Mnogi od nas koriste upravitelje zaporki kako bi zaštitili svoje privatne podatke, a LastPass je jedna od najpopularnijih opcija. Ali LastPass je pretrpio priličan udio povreda podataka, dovodeći u opasnost osjetljive informacije korisnika.

Dakle, koliko je puta LastPass bio hakiran i je li još uvijek siguran za korištenje?

1. Kršenje LastPass 2015

Prvo hakiranje LastPass dogodilo se u lipnju 2015., sedam godina nakon osnivanja tvrtke. Ova ozbiljna povreda razotkrila je e-poštu i glavne lozinke korisnika LastPassa, kao i savjete ili riječi podsjetnika koje se koriste za pamćenje glavnih lozinki. Hakiranje je primijećeno kada je LastPass otkrio sumnjivu mrežnu aktivnost, koja je ubrzo blokirana. Međutim, određena šteta je već bila učinjena.

U sada istekla napomena za kupce (dostupan putem internetske arhive), LastPass je obavijestio korisnike da su oni koji su koristili dodatne sigurnosne slojeve poput raspršivanja i soli na svojim lozinkama vjerojatno sigurni od hakiranja. Srećom, većina korisnika LastPassa koristi ove sigurnosne metode, što znači da je samo mali dio korisnika imao šansu da bude pogođen.

LastPass je također izjavio da ne vjeruje da je bilo kojem korisničkom računu pristupljeno zbog napada, ali je pozvao korisnicima da potvrde svoje adrese e-pošte i obnove bilo koji tjedan ili opetovano korištene glavne lozinke za povećanje sigurnosti.

Nekoliko tjedana nakon hakiranja, LastPass je objavio post na blogu navodeći da se njegova sigurnost poboljšala od hakiranja, s nizom malih i velikih promjena koje su napravljene kako bi se klijenti dodatno zaštitili. U ove promjene uključeno je uvođenje hardverskih sigurnosnih modula (HSM), koji štite LastPassovu kriptografsku infrastrukturu.

2. Incident praćenja LastPass 2021

Iako LastPass nije bio hakiran 2021., naišao je na probleme kada je otkriveno da njegova Android aplikacija sadrži trekere treće strane. U veljači 2021. aplikacija za sigurnosnu analizu pod nazivom Exodus Privacy otkrila je da je pronašla sedam trackera u Android aplikaciji LastPass, što je izazvalo sumnju među korisnicima. Sigurnosni istraživač Mike Kuketz komentirao je otkriće u Kuketz IT Security post na blogu, navodeći da "potpuno ne dolazi u obzir integracija [oglasa i programa za praćenje] u aplikacije za upravljanje lozinkama."

Kuketz je također naveo sedam alata za praćenje pronađenih u Android aplikaciji LastPass, koji su uključivali alate za praćenje iz Google Analyticsa, Segmenta i AppsFlyera. Omogućavanje pristupa platformama za marketinšku analitiku na ovakav način osudio je Kuketz, koji je napisao da je LastPassov pristup "izuzetno upitan u smislu sigurnosti".

Kuketz je istaknuo da je aplikaciju LastPass za Android potrebno ručno provjeriti kako bi se razabralo jesu li pratioci aktivno pratili korisnike. Međutim, Kuketz je primijetio da je samo prisustvo tragača loša praksa za aplikaciju koja treba dati prednost sigurnosti.

Kao odgovor na ovu kritiku, LastPass informirani korisnici da koristi analitičke alate. LastPass je naglasio da je to učinjeno kako bi se dobio uvid u "telemetriju aplikacija, podatke o pogreškama i izvješćima o padu, kao i statističke informacije o korištenju visoke razine kako bi se u konačnici poboljšala ukupna izvedba, pouzdanost i upotrebljivost [ aplikacija]."

Također je navedeno da je analitički element aplikacije LastPass bila izborna značajka koju su korisnici mogli onemogućiti u svojim naprednim postavkama. No bez obzira na to, prisutnost trackera u LastPass Android aplikaciji ostavila je loš okus u ustima sigurnosnih analitičara i korisnika.

3. Kršenja LastPass 2022

Trebalo je neko vrijeme da LastPass naleti na još jedan kibernetički napad nakon početnog incidenta 2015. Ali 2022. dogodio se još jedan napad. Ovo je bila posebno teška godina za LastPass, s prvim hakiranjem u kolovozu koji je izazvao udarne valove koji će se nastaviti u 2023.

Početkom kolovoza 2022. LastPass je postao svjestan povrede u kojoj je haker kompromitirao prijenosno računalo LastPass programera kako bi ukrao izvorni kod i pristupio razvojnoj platformi tvrtke u oblaku. Haker je zaobišao sigurnost višefaktorske provjere autentičnosti na račun inženjera tako što se uspješno autentificirao kao korisnik. Iako je ovo bio vrlo zabrinjavajući incident, haker nije dohvatio podatke o kupcima.

Ali nekoliko mjeseci kasnije stvari su se pogoršale. U prosincu 2022. LastPass je objavio da je hakiranje u kolovozu omogućilo napadačima pristup osjetljivijim područjima njegove infrastrukture, što je prvi put iskorišteno u studenom. Ovaj put, hakeri su pristupili podacima korisnika LastPassa, uključujući e-mail i IP adrese, telefonske brojeve i imena. Povrh toga, određene vrste korisničkih podataka iz trezora bile su izložene, uključujući pohranjena korisnička imena i lozinke za online račune.

Nepotrebno je reći da je LastPass sada bio u vrlo vrućoj situaciji i stvari se neće zaustaviti 2023.

Posljedice 2023

Iako 2023. nije donijela nove hakove za LastPass, donijela je sve više i više uznemirujućih informacija o pothvatima 2022.

U siječnju 2023. LastPassova matična tvrtka, GoTo, objavila je izjavu o posljedicama hakiranja 2022. godine. GoTo izjava objasnio je da je nekoliko drugih usluga tvrtke, uključujući Central, Hamachi, Pro, join.me i RemotelyAnywhere, također bilo na meti napadača putem uređaja za pohranu u oblaku treće strane. S ovog uređaja napadači su ukrali šifrirane sigurnosne kopije. Štoviše, GoTo je otkrio da je pronašao dokaze koji sugeriraju da je pristupljeno i ključu za šifriranje za neke od ukradenih sigurnosnih kopija.

U veljači 2023. LastPass se ponovno našao u naslovima vijesti kada je otkriveno da su, između prvog i drugog hakiranja 2022., napadači poduzeli više zlonamjernih radnji.

Kao što je dokumentirano u gornjoj objavi X, hakeri iz studenog 2022 ugrozio kućno računalo starijeg LastPass programera putem softverske medijske ranjivosti. Nakon hakiranja računala, hakeri su instalirali keylogger koji im je omogućio da vide što programer upisuje na njihovoj tipkovnici.

To je napadačima dalo pristup glavnoj lozinci za korporativni trezor LastPass razvojnog programera, dopuštajući napadačima pristup samom trezoru. Ono što je ovdje šokantno je da su samo četiri LastPass senior programera imala pristup korporativnom trezoru, a napadači su ipak uspjeli uspješno naciljati jednog takvog programera.

Hakeri su također iskoristili korisničke vjerodajnice ukradene 2022. kako bi ukrali 4,4 milijuna dolara u kriptovaluti u listopadu 2023. Smatra se da su napadači pristupili početnim frazama i ključevima kripto novčanika u drugoj provali 2022., što im je omogućilo da hakiraju novčanike i povuku kriptovalute na željenu adresu.

LastPass ima potpuni popis podataka kojima se pristupilo u hakiranju 2022 ako želite vidjeti sve što je razotkriveno zbog incidenata 2022.

Je li LastPass još uvijek siguran za korištenje?

Iako je LastPass u funkciji od 2008., većina njegovih povreda podataka i sigurnosnih incidenata dogodila se 2020-ih. S obzirom na njegove brojne sigurnosne probleme iz prošlosti, prirodno je osjećati se malo nervozno zbog korištenja LastPassa, pa kakva je presuda ovdje? Je li LastPass siguran za korištenje ili biste se trebali odlučiti za nešto drugo?

Iako je sigurnije koristiti LastPass nego jednostavnu aplikaciju za bilješke ili sličnu opciju za pohranu, danas možda postoje bolji upravitelji lozinkama. S toliko mnogo kvarova u sigurnosnoj evidenciji, LastPass je za mnoge postao nedostupan jer se ne zna kada će se dogoditi još jedno kršenje. Budući da je 2022. uzrokovala toliko problema za LastPass i njegove korisnike, ne čudi da su neki korisnici odustali od toga i odlučili se za upravitelje lozinki koji još nisu hakirani.

Dashlane i NordPass samo su dva primjera vrlo uglednih upravitelja lozinki koji nikada nisu pretrpjeli kršenje sigurnosti, stoga je sigurno moguće pronaći upravitelja lozinkama čiji podaci o korisnicima ili portali zaposlenika nisu bili izloženi hakeri.

Ako trenutno koristite LastPass, ali želite se uputiti negdje drugdje, pogledajte naš vodič na brisanje vašeg LastPass računa. Imamo i praktičan vodič o najsigurniji upravitelji lozinkama ako trebate pomoć u odabiru zamjene.

Međutim, sigurnosni incidenti LastPassa ne čine ga nesigurnim upraviteljem lozinki. Aplikacija i dalje ima mnogo korisnih značajki za zaštitu osjetljivih vjerodajnica i jednostavna je za korištenje bez obzira na tehničku potkovanost.

LastPass nije kralj upravljanja lozinkama

Nema ničeg inherentno lošeg u korištenju LastPassa za pohranu lozinki, jer je aplikacija općenito prilično sigurna. Međutim, vrijedi spomenuti super sigurne alternative ako želite osigurati da se vaši osjetljivi podaci pohranjuju što učinkovitije.