Ile razy ktoś zhakował LastPass i czy nadal można go bezpiecznie używać?

przez

Istotne informacje dotyczące LastPass

  • W przeszłości LastPass był celem kilku ataków, w tym incydentu z 2015 roku, który skutkował ujawnieniem adresów e-mail użytkowników i ich haseł głównych. Użytkownicy, którzy zastosowali dodatkowe zabezpieczenia, byli prawdopodobnie chronieni przed tym naruszeniem.
  • W 2021 roku LastPass został skrytykowany za obecność w swojej aplikacji na Androida modułów śledzących pochodzących od innych firm, co wywołało obawy o prywatność. Firma wyjaśniła, że moduły śledzące służyły do zbierania danych telemetrycznych i można je było wyłączyć.
  • Kolejny poważny incydent miał miejsce w 2022 roku, kiedy nieautoryzowane osoby uzyskały dostęp do danych klientów oraz informacji przechowywanych w ich sejfach. Skutkowało to kradzieżą zaszyfrowanych kopii zapasowych i potencjalnym dostępem do kluczy szyfrowania.
  • Podsumowując, pomimo iż LastPass jest powszechnie uważany za bezpieczny, liczne naruszenia i problemy z bezpieczeństwem skłoniły niektórych użytkowników do poszukiwania alternatywnych menedżerów haseł, które nie padły ofiarą ataków.

Wiele osób korzysta z menedżerów haseł w celu ochrony swoich danych osobowych. LastPass jest jednym z popularniejszych rozwiązań, ale niestety doświadczył incydentów z zakresu bezpieczeństwa, które naraziły poufne informacje użytkowników na niebezpieczeństwo.

Jak często LastPass był celem ataków i czy nadal jest bezpieczny?

1. Włamanie do LastPass w 2015 roku

Źródło zdjęcia: Ervins Strauhmanis/Flickr

Pierwsze włamanie do LastPass miało miejsce w czerwcu 2015 roku, siedem lat po założeniu firmy. Incydent ten spowodował wyciek adresów e-mail, haseł głównych oraz wskazówek, które pomagały użytkownikom w ich zapamiętywaniu. Atak został wykryty, gdy LastPass zauważył podejrzaną aktywność w sieci i podjął działania w celu jej zablokowania. Niestety, pewne szkody zostały już wyrządzone.

W archiwalnym komunikacie dla klientów, LastPass poinformował, że użytkownicy stosujący dodatkowe zabezpieczenia, takie jak hashowanie i solenie haseł, byli prawdopodobnie bezpieczni. Większość użytkowników LastPass stosowała te metody, co oznacza, że tylko niewielka grupa była narażona na zagrożenie.

LastPass stwierdził, że nie ma dowodów na dostęp do kont użytkowników w wyniku ataku. Zalecił jednak użytkownikom weryfikację adresów e-mail i zmianę często używanych haseł głównych.

Kilka tygodni po incydencie, LastPass opublikował na blogu informacje o poprawie bezpieczeństwa dzięki wprowadzeniu zmian, w tym sprzętowych modułów bezpieczeństwa (HSM), chroniących infrastrukturę kryptograficzną LastPass.

2. Incydent związany z modułami śledzącymi w 2021 roku

W 2021 roku LastPass nie został bezpośrednio zhakowany, ale pojawiły się problemy, gdy okazało się, że aplikacja na Androida zawiera moduły śledzące od innych firm. W lutym 2021 roku aplikacja Exodus Privacy ujawniła obecność siedmiu takich modułów, co wywołało niepokój wśród użytkowników. Ekspert ds. bezpieczeństwa, Mike Kuketz, skomentował to w swoim wpisie na blogu, stwierdzając, że integracja reklam i śledzenia w aplikacji do zarządzania hasłami jest niedopuszczalna.

Kuketz wymienił moduły śledzące z Google Analytics, Segment i AppsFlyer, krytykując LastPass za przyznanie dostępu platformom analitycznym, co uznał za „wyjątkowo wątpliwe z punktu widzenia bezpieczeństwa”.

Podkreślił, że konieczne jest ręczne sprawdzenie aplikacji, aby ustalić, czy moduły śledzące aktywnie monitorują użytkowników. Zauważył również, że sama obecność takich modułów jest złą praktyką w aplikacji, która powinna mieć bezpieczeństwo na pierwszym miejscu.

W odpowiedzi na krytykę, LastPass poinformował użytkowników, że wykorzystuje narzędzia analityczne w celu uzyskania wglądu w telemetrię aplikacji, raporty o błędach oraz dane statystyczne, aby poprawić wydajność i niezawodność aplikacji.

Firma wyjaśniła, że zbieranie danych analitycznych jest opcjonalne i użytkownicy mogą je wyłączyć w ustawieniach zaawansowanych. Mimo to, obecność modułów śledzących w aplikacji LastPass pozostawiła negatywne wrażenie wśród ekspertów ds. bezpieczeństwa i użytkowników.

3. Naruszenia w 2022 roku

Po incydencie z 2015 roku minęło trochę czasu, zanim LastPass ponownie stał się celem cyberataku. Niestety, rok 2022 okazał się szczególnie problematyczny dla firmy, a pierwsze włamanie w sierpniu miało długotrwałe konsekwencje.

Na początku sierpnia 2022 roku, LastPass dowiedział się o naruszeniu, w którym haker włamał się na laptopa jednego z programistów, uzyskując dostęp do kodu źródłowego i platformy programistycznej firmy. Atakujący ominął zabezpieczenia wielopoziomowego uwierzytelniania konta inżyniera, co umożliwiło mu dostęp do systemu. Mimo że incydent był niepokojący, nie doszło do wycieku danych klientów.

Jednak sytuacja uległa pogorszeniu kilka miesięcy później. W grudniu 2022 roku LastPass poinformował, że sierpniowy atak umożliwił hakerom dostęp do bardziej wrażliwych części infrastruktury firmy, a pierwsze próby wykorzystania tego dostępu miały miejsce w listopadzie. Tym razem napastnicy uzyskali dostęp do danych klientów, w tym adresów e-mail, adresów IP, numerów telefonów i nazwisk, a także do nazw użytkowników i haseł przechowywanych w sejfach.

Sytuacja stała się bardzo poważna dla LastPass, a problemy nie zakończyły się w 2022 roku.

Konsekwencje w 2023 roku

Chociaż w 2023 roku nie doszło do nowych ataków na LastPass, na światło dzienne wyszło więcej niepokojących informacji na temat konsekwencji exploitów z 2022 roku.

W styczniu 2023 roku, GoTo, firma macierzysta LastPass, wydała oświadczenie dotyczące skutków ataków z 2022 roku. Okazało się, że inne usługi firmy, takie jak Central, Hamachi, Pro, Join.me i RemotelyAnywhere również zostały zaatakowane. Z zewnętrznego urządzenia do przechowywania danych w chmurze skradziono zaszyfrowane kopie zapasowe. Ponadto GoTo ujawniło, że uzyskano dostęp do klucza szyfrowania niektórych skradzionych kopii zapasowych.

W lutym 2023 roku LastPass znów znalazł się na pierwszych stronach gazet, gdy ujawniono, że pomiędzy pierwszym i drugim włamaniem w 2022 roku, napastnicy podejmowali kolejne złośliwe działania.

Jak opisano w powyższym poście na X, hakerzy, w listopadzie 2022 roku, włamali się na komputer domowy jednego z starszych programistów LastPass poprzez lukę w zabezpieczeniach oprogramowania. Po uzyskaniu dostępu do komputera, zainstalowali keylogger, aby śledzić to, co programista wpisuje na klawiaturze.

Dzięki temu atakujący zdobyli hasło główne do korporacyjnego sejfu LastPass, co umożliwiło im dostęp do samej bazy danych. Ustalono, że jedynie czterech starszych programistów miało dostęp do korporacyjnego sejfu, a atakujący z powodzeniem zaatakowali jednego z nich.

Hakerzy wykorzystali również dane uwierzytelniające skradzione w 2022 roku, aby w październiku 2023 roku ukraść kryptowalutę o wartości 4,4 miliona dolarów. Uważa się, że podczas drugiego naruszenia w 2022 roku, napastnicy uzyskali dostęp do fraz i kluczy początkowych portfela kryptowalutowego, co pozwoliło im włamać się do portfeli i wypłacić pieniądze na wskazane adresy.

LastPass udostępnił pełną listę danych, które zostały ujawnione podczas ataków w 2022 roku.

Czy LastPass jest nadal bezpieczny?

Chociaż LastPass działa od 2008 roku, większość problemów z bezpieczeństwem miała miejsce w latach 20. XXI wieku. Biorąc pod uwagę historię problemów z bezpieczeństwem, naturalne jest, że użytkownicy mogą obawiać się korzystania z LastPass. Czy zatem LastPass jest nadal bezpieczny, czy lepiej wybrać inną opcję?

Mimo że korzystanie z LastPass jest bezpieczniejsze niż proste notatki lub podobne metody przechowywania danych, obecnie istnieją potencjalnie lepsze menedżery haseł. Ze względu na liczne problemy z przeszłości, LastPass stał się nieakceptowalny dla wielu osób, ponieważ nie wiadomo, kiedy dojdzie do kolejnego naruszenia. W obliczu problemów z 2022 roku, nie dziwi fakt, że niektórzy użytkownicy zdecydowali się na przejście do innych menedżerów haseł, które nie zostały jeszcze zhakowane.

Dashlane i NordPass to przykłady godnych zaufania menedżerów haseł, które nigdy nie doświadczyły naruszeń bezpieczeństwa. Z pewnością można znaleźć alternatywę, która nie naraziła danych użytkowników na ataki hakerów.

Jeśli obecnie korzystasz z LastPass i chcesz zmienić menedżera haseł, sprawdź nasz przewodnik dotyczący usuwania konta LastPass. Oferujemy również pomocny przewodnik po najbezpieczniejszych menedżerach haseł, który może pomóc w wyborze alternatywy.

Incydenty związane z bezpieczeństwem nie oznaczają, że LastPass jest niebezpiecznym menedżerem haseł. Aplikacja nadal oferuje wiele funkcji przydatnych do ochrony poufnych danych uwierzytelniających i jest łatwa w obsłudze, niezależnie od poziomu wiedzy technicznej.

LastPass nie jest liderem w zarządzaniu hasłami

Nie ma nic złego w używaniu LastPass do przechowywania haseł, ponieważ aplikacja jest generalnie bezpieczna. Jeśli jednak zależy Ci na tym, aby Twoje wrażliwe informacje były chronione jak najskuteczniej, warto rozważyć alternatywy o najwyższym poziomie bezpieczeństwa.


newsblog.pl

Inne artykuły:

  1. Ile razy możesz zostać zbanowany na PS4
  2. Co to jest IPTV Area 51 i czy można go bezpiecznie używać?
  3. Najlepszy sposób na sprostanie wyzwaniu bezpieczeństwa LastPass
  4. Szukasz lepszej alternatywy dla LastPass?