Сколько раз LastPass был взломан и безопасно ли его использовать?

Ключевые выводы

• В прошлом LastPass сталкивался с многочисленными утечками данных, в том числе с утечкой данных в 2015 году, в результате которой были раскрыты адреса электронной почты и мастер-пароли пользователей. Однако большинство пользователей, применивших дополнительные уровни безопасности, скорее всего, были в безопасности от взлома.
• LastPass подвергся критике в 2021 году, когда было обнаружено, что их приложение для Android содержит сторонние трекеры, что вызвало обеспокоенность по поводу безопасности. В ответ LastPass заявил, что трекеры используются для телеметрии приложений и могут быть отключены пользователями.
• В 2022 году в LastPass произошла серьезная утечка, когда злоумышленники получили доступ к данным клиентов и информации в хранилищах пользователей. Это нарушение привело к дальнейшим последствиям для LastPass и его материнской компании GoTo, включая кражу зашифрованных резервных копий и доказательств доступа к ключу шифрования.
  instagram viewer
• В целом, хотя LastPass в целом считается безопасным, многочисленные нарушения и инциденты безопасности побудили некоторых пользователей искать альтернативные менеджеры паролей, которые не были скомпрометированы.

Многие из нас используют менеджеры паролей для обеспечения безопасности наших личных данных, причем LastPass является одним из самых популярных вариантов. Но LastPass пострадал от утечек данных, что поставило под угрозу конфиденциальную информацию клиентов.

Итак, сколько раз LastPass был взломан и безопасно ли его использовать?

1. Нарушение LastPass 2015

Первый взлом LastPass произошел в июне 2015 года, через семь лет после основания компании. В результате этого серьезного нарушения были раскрыты электронные письма и мастер-пароли пользователей LastPass, а также слова-подсказки или напоминания, используемые для запоминания мастер-паролей. Взлом был замечен, когда LastPass обнаружил подозрительную сетевую активность, которая вскоре была заблокирована. Однако некоторый ущерб уже был нанесен.

В Примечание для клиентов с истекшим сроком действия (доступно в Интернет-архиве), LastPass сообщил пользователям, что те, кто использовал дополнительные уровни безопасности, такие как хеширование и добавление в свои пароли, вероятно, были в безопасности от взлома. К счастью, большинство пользователей LastPass используют эти методы безопасности, а это означает, что только небольшая часть клиентов имела шанс пострадать.

LastPass также заявил, что не верит, что в результате атаки был получен доступ к каким-либо учетным записям пользователей, но призвал пользователи могут подтвердить свои адреса электронной почты и продлевать их каждую неделю или повторно использовать мастер-пароли для повышения безопасность.

Через несколько недель после взлома LastPass опубликовал сообщение в блоге заявив, что его безопасность улучшилась после взлома, и для дальнейшей защиты клиентов был внесен ряд мелких и крупных изменений. Эти изменения включали введение аппаратных модулей безопасности (HSM), которые защищают криптографическую инфраструктуру LastPass.

2. Инцидент отслеживания LastPass 2021

Хотя LastPass не был взломан в 2021 году, у него возникли проблемы, когда выяснилось, что его приложение для Android содержит сторонние трекеры. В феврале 2021 года приложение для анализа безопасности Exodus Privacy обнаружило семь трекеров в приложении LastPass для Android, что вызвало подозрения среди пользователей. Исследователь безопасности Майк Кукетц прокомментировал открытие в Сообщение в блоге Kuketz IT Security, заявив, что «совершенно невозможно интегрировать [рекламу и трекеры] в приложения-менеджеры паролей».

Кукетц также перечислил семь трекеров, найденных в Android-приложении LastPass, в том числе трекеры из Google Analytics, Segment и AppsFlyer. Предоставление доступа к платформам маркетинговой аналитики таким способом осудил Кукетц, написавший, что подход LastPass «крайне сомнительный с точки зрения безопасности».

Кукетц подчеркнул, что Android-приложение LastPass необходимо проверять вручную, чтобы определить, активно ли трекеры следят за пользователями. Однако Кукетц отметил, что само по себе наличие трекеров является плохой практикой для приложения, которому необходимо уделять приоритетное внимание безопасности.

В ответ на эту критику LastPass проинформировал пользователей что он использует инструменты аналитики. В LastPass подчеркнули, что это было сделано для того, чтобы получить представление о «телеметрии приложений, данных отчетов об ошибках и сбоях, а также статистическую информацию об использовании высокого уровня, чтобы в конечном итоге улучшить общую производительность, надежность и удобство использования [ приложение]."

Также было заявлено, что элемент аналитики приложения LastPass является дополнительной функцией, которую пользователи могут отключить в своих дополнительных настройках. Но несмотря на это, наличие трекеров в Android-приложении LastPass оставило неприятный привкус в устах аналитиков безопасности и пользователей.

3. Нарушения LastPass 2022

LastPass потребовалось некоторое время, чтобы столкнуться с новой кибератакой после первого инцидента в 2015 году. Но в 2022 году действительно произошла еще одна атака. Это был особенно тяжелый год для LastPass: первый взлом в августе вызвал шоковую волну, которая продолжится и в 2023 году.

В начале августа 2022 года LastPass стало известно о взломе, когда хакер взломал ноутбук разработчика LastPass, чтобы украсть исходный код и получить доступ к облачной платформе разработки компании. Хакер обошел систему многофакторной аутентификации в учетной записи инженера, успешно пройдя аутентификацию в качестве пользователя. Хотя это был очень тревожный инцидент, хакер не получил никакой информации о клиентах.

Но через несколько месяцев дела пошли еще хуже. В декабре 2022 года LastPass объявил, что августовский взлом дал злоумышленникам доступ к более уязвимым областям ее инфраструктуры, которые впервые были использованы в ноябре. На этот раз, хакеры получили доступ к данным клиентов LastPass, включая адреса электронной почты и IP, номера телефонов и имена. Кроме того, были раскрыты определенные виды данных пользовательских хранилищ, включая сохраненные имена пользователей и пароли для онлайн-аккаунтов.

Излишне говорить, что LastPass сейчас оказался в очень сложной ситуации, и в 2023 году ситуация не остановится.

Последствия 2023 года

Хотя 2023 год не принес новых хаков для LastPass, он приносил всё больше и больше тревожной информации об эксплойтах 2022 года.

В январе 2023 года материнская компания LastPass, GoTo, опубликовала заявление о последствиях хакерских атак 2022 года. Заявление GoTo пояснил, что несколько других сервисов компании, в том числе Central, Hamachi, Pro, join.me и RemotelyAnywhere, также подверглись нападению злоумышленников через стороннее облачное хранилище. С этого устройства злоумышленники похитили зашифрованные резервные копии. Более того, GoTo сообщила, что обнаружила доказательства того, что был получен доступ к ключу шифрования для некоторых украденных резервных копий.

В феврале 2023 года LastPass снова оказался в заголовках новостей, когда выяснилось, что между первым и вторым взломами 2022 года злоумышленники предприняли еще больше вредоносных действий.

Как указано в посте X выше, хакеры в ноябре 2022 г. взломал домашний компьютер старшего разработчика LastPass через уязвимость программного носителя. После взлома компьютера хакеры установили кейлоггер, позволяющий им видеть, что разработчик печатал на их клавиатуре.

Это дало злоумышленникам доступ к главному паролю корпоративного хранилища LastPass разработчика, что позволило злоумышленникам получить доступ к самому хранилищу. Что шокирует, так это то, что только четыре старших разработчика LastPass имели доступ к корпоративному хранилищу, и злоумышленникам все же удалось успешно атаковать одного такого разработчика.

Хакеры также использовали учетные данные пользователей, украденные в 2022 году, чтобы украсть 4,4 миллиона долларов в криптовалюте в октябре 2023 года. Предполагается, что злоумышленники получили доступ к исходным фразам и ключам криптокошелька во время второго взлома в 2022 году, что позволило им взламывать кошельки и выводить криптовалюту на желаемый адрес.

В LastPass есть полный список данных, к которым был получен доступ при взломах 2022 года если вы хотите увидеть все, что было раскрыто в результате инцидентов 2022 года.

LastPass по-прежнему безопасен в использовании?

Хотя LastPass работает с 2008 года, большинство утечек данных и инцидентов безопасности произошли в 2020-х годах. Учитывая многочисленные прошлые проблемы с безопасностью, вполне естественно немного нервничать по поводу использования LastPass, так каков же здесь вердикт? Безопасно ли использовать LastPass или стоит выбрать что-то другое?

Хотя использовать LastPass безопаснее, чем простое приложение для заметок или аналогичный вариант хранения, сегодня вполне могут существовать лучшие менеджеры паролей. Из-за такого количества нарушений безопасности LastPass для многих стал бесполезным, поскольку неизвестно, когда произойдет еще одно нарушение. Поскольку 2022 год вызвал так много проблем для LastPass и его пользователей, неудивительно, что некоторые пользователи покинули корабль, выбрав менеджеры паролей, которые еще не были взломаны.

Dashlane и NordPass — это лишь два примера надежных менеджеров паролей, которые никогда не подвергались нарушениям безопасности. так что, безусловно, можно найти менеджер паролей, данные клиентов или порталы сотрудников которого не были бы раскрыты хакеры.

Если вы в настоящее время используете LastPass, но хотите отправиться в другое место, ознакомьтесь с нашим руководством по удаление вашей учетной записи LastPass. У нас также есть удобное руководство по самые безопасные менеджеры паролей если вам нужна помощь в выборе замены.

Однако инциденты с безопасностью LastPass не делают его небезопасным менеджером паролей. Приложение по-прежнему имеет множество полезных функций для защиты конфиденциальных учетных данных, и его легко использовать независимо от технических знаний.

LastPass — не король управления паролями

Нет ничего плохого в использовании LastPass для хранения паролей, поскольку приложение, как правило, вполне безопасно. Тем не менее, стоит отметить супербезопасные альтернативы, если вы хотите обеспечить максимально эффективное хранение вашей конфиденциальной информации.