Το LastPass είναι ένα πολύ γνωστό και αξιόπιστο όνομα στην ασφάλεια του κωδικού πρόσβασης, αλλά το ιστορικό παραβιάσεων του μπορεί να σας κάνει να σκεφτείτε μια εναλλακτική λύση.

Βασικά Takeaways

  • Το LastPass έχει αντιμετωπίσει πολλές παραβιάσεις δεδομένων στο παρελθόν, συμπεριλαμβανομένης μιας το 2015 που αποκάλυψε τα email των χρηστών και τους κύριους κωδικούς πρόσβασης. Ωστόσο, η πλειονότητα των χρηστών που χρησιμοποίησαν επιπλέον επίπεδα ασφαλείας ήταν πιθανότατα ασφαλείς από την παραβίαση.
  • Το LastPass αντιμετώπισε κριτική το 2021, όταν ανακαλύφθηκε ότι η εφαρμογή Android περιείχε ιχνηλάτες τρίτων, εγείροντας ανησυχίες σχετικά με την ασφάλεια. Το LastPass απάντησε δηλώνοντας ότι οι ιχνηλάτες χρησιμοποιήθηκαν για τηλεμετρία εφαρμογών και μπορούσαν να απενεργοποιηθούν από τους χρήστες.
  • Το LastPass αντιμετώπισε μια σημαντική παραβίαση το 2022, όπου οι εισβολείς είχαν πρόσβαση σε δεδομένα πελατών και σε πληροφορίες θυρίδας αποθήκευσης χρηστών. Αυτή η παραβίαση οδήγησε σε περαιτέρω συνέπειες για το LastPass και τη μητρική του εταιρεία, την GoTo, συμπεριλαμβανομένων κλεμμένων κρυπτογραφημένων αντιγράφων ασφαλείας και αποδεικτικών στοιχείων για πρόσβαση σε κλειδί κρυπτογράφησης.
    instagram viewer
  • Συνολικά, ενώ το LastPass θεωρείται γενικά ασφαλές, οι πολλαπλές παραβιάσεις και τα περιστατικά ασφάλειας έχουν οδηγήσει ορισμένους χρήστες να αναζητήσουν εναλλακτικούς διαχειριστές κωδικών πρόσβασης που δεν έχουν παραβιαστεί.

Πολλοί από εμάς χρησιμοποιούμε διαχειριστές κωδικών πρόσβασης για να διατηρήσουμε τα προσωπικά μας δεδομένα ασφαλή, με το LastPass να είναι μία από τις πιο δημοφιλείς επιλογές εκεί έξω. Αλλά το LastPass έχει υποστεί το μερίδιο παραβίασης δεδομένων, θέτοντας σε κίνδυνο τις ευαίσθητες πληροφορίες των πελατών.

Λοιπόν, πόσες φορές έχει χακαριστεί το LastPass και εξακολουθεί να είναι ασφαλές για χρήση;

1. Παραβίαση LastPass 2015

Πηγή εικόνας: Ervins Strauhmanis/Flickr

Το πρώτο χακάρισμα του LastPass συνέβη τον Ιούνιο του 2015, επτά χρόνια μετά την ίδρυση της εταιρείας. Αυτή η σοβαρή παραβίαση αποκάλυψε τα email και τους κύριους κωδικούς πρόσβασης των χρηστών του LastPass, καθώς και τις λέξεις υπόδειξης ή υπενθύμισης που χρησιμοποιούνται για την απομνημόνευση των κύριων κωδικών πρόσβασης. Το hack έγινε αντιληπτό όταν το LastPass εντόπισε ύποπτη δραστηριότητα δικτύου, η οποία σύντομα αποκλείστηκε. Ωστόσο, κάποιες ζημιές είχαν ήδη γίνει.

Σε ένα σημείωμα που έχει λήξει σε πελάτες (διαθέσιμο μέσω του Internet Archive), το LastPass ενημέρωσε τους χρήστες ότι όσοι χρησιμοποίησαν επιπλέον επίπεδα ασφαλείας, όπως κατακερματισμός και salting στους κωδικούς πρόσβασής τους, ήταν πιθανότατα ασφαλείς από την εισβολή. Ευτυχώς, η πλειονότητα των χρηστών του LastPass χρησιμοποιεί αυτές τις μεθόδους ασφαλείας, πράγμα που σημαίνει ότι μόνο ένα μικρό μέρος των πελατών είχε την πιθανότητα να επηρεαστεί.

Η LastPass δήλωσε επίσης ότι δεν πίστευε ότι έγινε πρόσβαση σε λογαριασμούς χρηστών λόγω της επίθεσης, αλλά προέτρεψε οι χρήστες να επαληθεύουν τις διευθύνσεις email τους και να ανανεώνουν οποιαδήποτε εβδομάδα ή να χρησιμοποιούν επανειλημμένα κύριους κωδικούς πρόσβασης για ενίσχυση ασφάλεια.

Λίγες εβδομάδες μετά το hack, Το LastPass δημοσίευσε μια ανάρτηση ιστολογίου δηλώνοντας ότι η ασφάλειά του είχε βελτιωθεί από το hack, με μια σειρά από μικρές και μεγάλες αλλαγές που έγιναν για την περαιτέρω προστασία των πελατών. Σε αυτές τις αλλαγές περιλαμβανόταν η εισαγωγή των Μονάδων Ασφαλείας Υλικού (HSM), που προστατεύουν την κρυπτογραφική υποδομή του LastPass.

2. Συμβάν παρακολούθησης LastPass 2021

Αν και το LastPass δεν παραβιάστηκε το 2021, αντιμετώπισε προβλήματα όταν διαπιστώθηκε ότι η εφαρμογή Android του περιείχε ιχνηλάτες τρίτων. Τον Φεβρουάριο του 2021, μια εφαρμογή ανάλυσης ασφαλείας με το όνομα Exodus Privacy αποκάλυψε ότι είχε βρει επτά ιχνηλάτες στην εφαρμογή LastPass Android, προκαλώντας υποψίες στους χρήστες. Ο ερευνητής ασφαλείας Mike Kuketz σχολίασε την ανακάλυψη στο α Ανάρτηση ιστολογίου Kuketz IT Security, δηλώνοντας ότι "είναι εντελώς εκτός θέματος η ενσωμάτωση [διαφημίσεων και ιχνηλατών] σε εφαρμογές διαχείρισης κωδικών πρόσβασης."

Ο Kuketz απαρίθμησε επίσης τους επτά ιχνηλάτες που βρέθηκαν στην εφαρμογή LastPass Android, η οποία περιελάμβανε ιχνηλάτες από το Google Analytics, το Segment και το AppsFlyer. Η παραχώρηση πρόσβασης σε πλατφόρμες ανάλυσης μάρκετινγκ με αυτόν τον τρόπο καταδικάστηκε από τον Kuketz, ο οποίος έγραψε ότι η προσέγγιση του LastPass είναι «εξαιρετικά αμφισβητήσιμη όσον αφορά την ασφάλεια».

Ο Kuketz υπογράμμισε ότι η εφαρμογή Android LastPass έπρεπε να ελεγχθεί χειροκίνητα για να διαπιστωθεί εάν οι ιχνηλάτες κρατούσαν ενεργά καρτέλες στους χρήστες. Η παρουσία και μόνο των ιχνηλατών, ωστόσο, σημειώθηκε από τον Kuketz ως κακή πρακτική για μια εφαρμογή που πρέπει να δώσει προτεραιότητα στην ασφάλεια.

Σε απάντηση αυτής της κριτικής, Το LastPass ενημέρωσε τους χρήστες ότι χρησιμοποιεί εργαλεία ανάλυσης. Το LastPass τόνισε ότι αυτό έγινε για να ληφθούν πληροφορίες σχετικά με "τηλεμετρία εφαρμογών, δεδομένα αναφοράς σφαλμάτων και σφαλμάτων, καθώς και στατιστικές πληροφορίες χρήσης υψηλού επιπέδου για τη βελτίωση της συνολικής απόδοσης, αξιοπιστίας και χρηστικότητας του [του εφαρμογή]."

Αναφέρθηκε επίσης ότι το στοιχείο αναλυτικών στοιχείων της εφαρμογής LastPass ήταν μια προαιρετική δυνατότητα που οι χρήστες μπορούσαν να απενεργοποιήσουν στις σύνθετες ρυθμίσεις τους. Ωστόσο, ανεξάρτητα από αυτό, η παρουσία ιχνηλατών στην εφαρμογή LastPass Android άφησε μια άσχημη γεύση στα στόματα αναλυτών ασφαλείας και χρηστών.

3. Παραβιάσεις του LastPass 2022

Χρειάστηκε λίγος χρόνος για να αντιμετωπίσει το LastPass άλλη μια κυβερνοεπίθεση μετά το αρχικό περιστατικό του 2015. Αλλά το 2022, μια άλλη επίθεση ήρθε πράγματι. Αυτή ήταν μια ιδιαίτερα δύσκολη χρονιά για το LastPass, με ένα αρχικό hack τον Αύγουστο που προκάλεσε κρουστικά κύματα που θα συνεχίζονταν μέχρι το 2023.

Στις αρχές Αυγούστου 2022, το LastPass αντιλήφθηκε μια παραβίαση όπου ένας χάκερ είχε παραβιάσει τον φορητό υπολογιστή προγραμματιστή του LastPass για να κλέψει τον πηγαίο κώδικα και να αποκτήσει πρόσβαση στην πλατφόρμα ανάπτυξης που βασίζεται στο cloud της εταιρείας. Ο χάκερ παρέκαμψε την ασφάλεια ελέγχου ταυτότητας πολλαπλών παραγόντων στον λογαριασμό του μηχανικού, επαληθεύοντας επιτυχώς τον εαυτό του ως χρήστη. Αν και αυτό ήταν ένα πολύ ανησυχητικό περιστατικό, ο χάκερ δεν ανέκτησε πληροφορίες πελατών.

Αλλά λίγους μήνες αργότερα, τα πράγματα έγιναν χειρότερα. Τον Δεκέμβριο του 2022, το LastPass ανακοίνωσε ότι η πειρατεία του Αυγούστου έδωσε στους εισβολείς μια διέξοδο σε πιο ευαίσθητες περιοχές της υποδομής του, που εκμεταλλεύτηκαν για πρώτη φορά τον Νοέμβριο. Αυτή τη φορά, χάκερ είχαν πρόσβαση στα δεδομένα πελατών του LastPass, συμπεριλαμβανομένων των διευθύνσεων email και IP, αριθμών τηλεφώνου και ονομάτων. Επιπλέον, εκτέθηκαν ορισμένα είδη δεδομένων αποθήκης χρηστών, συμπεριλαμβανομένων αποθηκευμένων ονομάτων χρήστη και κωδικών πρόσβασης για διαδικτυακούς λογαριασμούς.

Περιττό να πούμε ότι το LastPass ήταν πλέον σε πολύ ζεστό νερό και τα πράγματα δεν θα σταματούσαν το 2023.

Τα επακόλουθα του 2023

Αν και το 2023 δεν έφερε νέα hacks για το LastPass, έφερε όλο και περισσότερες ανησυχητικές πληροφορίες για τα exploits του 2022.

Τον Ιανουάριο του 2023, η μητρική εταιρεία του LastPass, η GoTo, δημοσίευσε μια δήλωση σχετικά με τις συνέπειες των hacks του 2022. Η δήλωση του GoTo εξήγησε ότι αρκετές από τις άλλες υπηρεσίες της εταιρείας, συμπεριλαμβανομένων των Central, Hamachi, Pro, join.me και RemotelyAnywhere, στοχοποιήθηκαν επίσης από εισβολείς μέσω μιας συσκευής αποθήκευσης cloud τρίτων. Από αυτήν τη συσκευή, οι εισβολείς έκλεψαν κρυπτογραφημένα αντίγραφα ασφαλείας. Επιπλέον, η GoTo αποκάλυψε ότι είχε βρει στοιχεία που υποδεικνύουν ότι είχε επίσης πρόσβαση σε ένα κλειδί κρυπτογράφησης για ορισμένα από τα κλεμμένα αντίγραφα ασφαλείας.

Τον Φεβρουάριο του 2023, το LastPass βρέθηκε ξανά στους τίτλους των ειδήσεων, όταν αποκαλύφθηκε ότι, μεταξύ του πρώτου και του δεύτερου hacks του 2022, είχαν πραγματοποιηθεί περισσότερες κακόβουλες ενέργειες από τους εισβολείς.

Όπως τεκμηριώνεται στην παραπάνω ανάρτηση X, οι χάκερ του Νοεμβρίου 2022 παραβίασε τον οικιακό υπολογιστή ενός ανώτερου προγραμματιστή του LastPass μέσω ευπάθειας μέσων λογισμικού. Αφού χάκαραν τον υπολογιστή, οι χάκερ εγκατέστησαν ένα keylogger, δίνοντάς τους τη δυνατότητα να δουν τι πληκτρολογούσε ο προγραμματιστής στο πληκτρολόγιό τους.

Αυτό έδωσε στους εισβολείς πρόσβαση στον κύριο κωδικό πρόσβασης του εταιρικού θησαυροφυλάκιου LastPass του προγραμματιστή, επιτρέποντας στους εισβολείς να έχουν πρόσβαση στο ίδιο το θησαυροφυλάκιο. Αυτό που είναι σοκαριστικό εδώ είναι ότι μόνο τέσσερις ανώτεροι προγραμματιστές του LastPass είχαν πρόσβαση στο εταιρικό θησαυροφυλάκιο και οι εισβολείς κατάφεραν να στοχεύσουν με επιτυχία έναν τέτοιο προγραμματιστή.

Οι χάκερ χρησιμοποίησαν επίσης τα διαπιστευτήρια χρήστη που είχαν κλαπεί το 2022 για να κλέψουν 4,4 εκατομμύρια δολάρια σε κρυπτονομίσματα τον Οκτώβριο του 2023. Θεωρείται ότι οι επιτιθέμενοι είχαν πρόσβαση σε φράσεις και κλειδιά του πορτοφολιού κρυπτογράφησης στη δεύτερη παραβίαση του 2022, επιτρέποντάς τους να εισβάλουν σε πορτοφόλια και να αποσύρουν τα κρυπτογραφικά στη διεύθυνση που επιθυμούσαν.

Το LastPass έχει ένα πλήρης κατάλογος δεδομένων στα οποία έχει πρόσβαση στις εισβολές του 2022 αν θέλετε να δείτε όλα όσα αποκαλύφθηκαν λόγω των περιστατικών του 2022.

Είναι το LastPass ακόμα ασφαλές στη χρήση;

Αν και το LastPass είναι σε λειτουργία από το 2008, οι περισσότερες από τις παραβιάσεις δεδομένων και τα περιστατικά ασφάλειας έχουν σημειωθεί τη δεκαετία του 2020. Δεδομένων των πολλαπλών προβλημάτων ασφαλείας του παρελθόντος, είναι φυσικό να αισθάνεστε λίγο νευρικοί σχετικά με τη χρήση του LastPass, οπότε ποια είναι η ετυμηγορία εδώ; Είναι το LastPass ασφαλές στη χρήση ή θα πρέπει να επιλέξετε κάτι άλλο;

Αν και είναι ασφαλέστερο να χρησιμοποιείτε το LastPass από μια απλή εφαρμογή σημειώσεων ή παρόμοια επιλογή αποθήκευσης, μπορεί να υπάρχουν καλύτεροι διαχειριστές κωδικών πρόσβασης σήμερα εκεί έξω. Με τόσα πολλά προβλήματα στο αρχείο ασφαλείας του, το LastPass έχει γίνει απαγορευτικό για πολλούς, καθώς δεν γνωρίζουμε πότε θα συμβεί άλλη παραβίαση. Με το 2022 να προκαλεί τόσα πολλά ζητήματα για το LastPass και τους χρήστες του, δεν αποτελεί έκπληξη το γεγονός ότι ορισμένοι χρήστες άρχισαν να επιλέγουν διαχειριστές κωδικών πρόσβασης που δεν έχουν ακόμη χακαριστεί.

Το Dashlane και το NordPass είναι μόνο δύο παραδείγματα πολύ αξιόπιστων διαχειριστών κωδικών πρόσβασης που δεν έχουν υποστεί ποτέ παραβίαση ασφαλείας, έτσι είναι σίγουρα δυνατό να βρείτε έναν διαχειριστή κωδικών πρόσβασης που να μην έχει εκτεθούν τα δεδομένα πελατών ή οι πύλες εργαζομένων του χάκερ.

Εάν χρησιμοποιείτε το LastPass αλλά θέλετε να πάτε αλλού, ρίξτε μια ματιά στον οδηγό μας διαγραφή του λογαριασμού σας LastPass. Έχουμε επίσης έναν εύχρηστο οδηγό για το ασφαλέστεροι διαχειριστές κωδικών πρόσβασης εάν χρειάζεστε βοήθεια για την επιλογή ενός αντικαταστάτη.

Ωστόσο, τα περιστατικά ασφαλείας του LastPass δεν το καθιστούν μη ασφαλή διαχειριστή κωδικών πρόσβασης. Η εφαρμογή εξακολουθεί να έχει πολλά χρήσιμα χαρακτηριστικά για την προστασία ευαίσθητων διαπιστευτηρίων και είναι εύκολη στη χρήση ανεξάρτητα από την τεχνογνωσία.

Το LastPass δεν είναι ο βασιλιάς της διαχείρισης κωδικών πρόσβασης

Δεν υπάρχει τίποτα εγγενώς λάθος με τη χρήση του LastPass για την αποθήκευση κωδικών πρόσβασης, καθώς η εφαρμογή είναι γενικά αρκετά ασφαλής. Ωστόσο, αξίζει να σημειώσετε τις εξαιρετικά ασφαλείς εναλλακτικές λύσεις, εάν θέλετε να διασφαλίσετε ότι οι ευαίσθητες πληροφορίες σας αποθηκεύονται όσο το δυνατόν αποτελεσματικότερα.