Viktige poeng å merke seg
- LastPass har tidligere vært utsatt for flere datainnbrudd, inkludert et i 2015 hvor brukernes e-postadresser og hovedpassord ble avslørt. Imidlertid var de fleste brukere som hadde aktivert ekstra sikkerhetstiltak, sannsynligvis ikke berørt av dette bruddet.
- I 2021 oppsto kritikk mot LastPass da det ble oppdaget at deres Android-app inneholdt tredjepartssporere, noe som skapte bekymring for datasikkerheten. LastPass svarte med å forklare at disse sporerne ble brukt til å samle inn telemetri for applikasjonen, og at brukerne kunne deaktivere dem.
- Et omfattende brudd fant sted i 2022, der angripere fikk tilgang til kundedata og lagret informasjon i brukernes hvelv. Dette bruddet førte til ytterligere konsekvenser for LastPass og deres morselskap, GoTo, inkludert tyveri av krypterte sikkerhetskopier og indikasjoner på at krypteringsnøkkelen var blitt kompromittert.
- Til tross for at LastPass generelt anses som et trygt verktøy, har de mange hendelsene med brudd og sikkerhetsutfordringer ført til at mange brukere vurderer alternative passordadministratorer som ikke har vært utsatt for slike inngrep.
Mange av oss benytter passordadministratorer for å beskytte våre personlige data, og LastPass er en av de mest populære løsningene på markedet. Likevel har LastPass opplevd en del datainnbrudd som har satt kundenes sensitive data i fare.
Så, hvor mange ganger har LastPass blitt hacket, og er det fortsatt trygt å bruke tjenesten?
1. Sikkerhetsbruddet i LastPass i 2015
Bildekilde: Ervins Strauhmanis/Flickr
Det første innbruddet hos LastPass skjedde i juni 2015, syv år etter at selskapet ble etablert. Dette alvorlige sikkerhetsbruddet avdekket e-postadresser og hovedpassord til LastPass-brukere, samt hint eller påminnelser som ble brukt til å huske hovedpassordene. Inngrepet ble oppdaget da LastPass registrerte mistenkelig nettverksaktivitet, som raskt ble stoppet. Likevel hadde skaden allerede skjedd.
I en melding til kundene, som nå er utgått (tilgjengelig via Internet Archive), informerte LastPass om at de som benyttet seg av ekstra sikkerhetstiltak som hashing og salting av passord, sannsynligvis var beskyttet mot bruddet. Heldigvis bruker de fleste LastPass-brukere disse metodene, noe som betyr at kun en mindre andel av kundebasen risikerte å bli berørt.
LastPass bemerket også at de ikke trodde at noen brukerkontoer var blitt åpnet som et resultat av angrepet, men oppfordret brukerne til å verifisere sine e-postadresser og oppdatere hovedpassord som var gamle eller brukt flere steder, for å styrke sikkerheten.
Noen uker etter angrepet publiserte LastPass et blogginnlegg der de forklarte at sikkerheten var blitt forbedret etter inngrepet, med en rekke mindre og større tiltak som var blitt iverksatt for å styrke kundenes beskyttelse. Blant disse tiltakene var introduksjonen av Hardware Security Modules (HSM), som beskytter LastPass sin kryptografiske infrastruktur.
2. Sporingshendelsen i LastPass i 2021
Selv om LastPass ikke ble hacket i 2021, oppsto det vanskeligheter da det ble oppdaget at Android-appen deres inneholdt tredjepartssporere. En sikkerhetsanalyse-app ved navn Exodus Privacy avdekket i februar 2021 at det var syv sporere i LastPass sin Android-app, noe som skapte mistanke blant brukerne. Sikkerhetsforskeren Mike Kuketz kommenterte funnet i et innlegg på Kuketz IT Security-bloggen og uttalte at det er «helt uakseptabelt å integrere [annonser og sporere] i passordadministrator-apper.»
Kuketz listet også opp de syv sporerne som var funnet i LastPass sin Android-app, inkludert sporere fra Google Analytics, Segment og AppsFlyer. Kuketz kritiserte denne tilgangen til markedsanalyseplattformer og skrev at LastPass sin tilnærming er «ekstremt tvilsom når det kommer til sikkerhet».
Kuketz understreket at det var nødvendig med en manuell sjekk av LastPass sin Android-app for å vurdere om sporerne aktivt fulgte med på brukerne. Likevel ble tilstedeværelsen av sporerne alene av Kuketz vurdert som dårlig praksis for en app som burde prioritere sikkerhet.
Som et svar på denne kritikken, informerte LastPass brukerne om at de benytter analyseverktøy. LastPass understreket at dette ble gjort for å få innsikt i «applikasjonstelemetri, feil- og krasjrapporteringsdata, samt statistisk informasjon på høyt nivå for å forbedre appens ytelse, pålitelighet og brukervennlighet».
Det ble også presisert at analyseelementet i LastPass-appen var en valgfri funksjon som brukerne kunne deaktivere i sine avanserte innstillinger. Uansett dette, etterlot tilstedeværelsen av sporere i LastPass sin Android-app en negativ opplevelse hos både sikkerhetsanalytikere og brukere.
3. Sikkerhetsbruddene i LastPass i 2022
Det tok en stund før LastPass ble utsatt for et nytt cyberangrep etter det første i 2015. Men i 2022 kom et nytt angrep. Dette ble et spesielt krevende år for LastPass, med et første angrep i august som førte til bølger som skulle strekke seg inn i 2023.
I begynnelsen av august 2022 ble LastPass oppmerksom på et brudd der en hacker hadde kompromittert en datamaskin tilhørende en LastPass-utvikler for å stjele kildekode og få tilgang til selskapets skybaserte utviklingsplattform. Hackeren omgådde multifaktorautentiseringen på utviklerens konto ved å identifisere seg som brukeren. Selv om dette var en svært alvorlig hendelse, fikk hackeren ikke tak i noen kundeinformasjon.
Men noen måneder senere ble situasjonen verre. I desember 2022 kunngjorde LastPass at august-angrepet hadde gitt angriperne mulighet til å trenge inn i mer sensitive områder av infrastrukturen, først utnyttet i november. Denne gangen fikk hackere tilgang til LastPass-kundedata, inkludert e-postadresser og IP-adresser, telefonnumre og navn. I tillegg ble visse typer brukerhvelvdata avdekket, inkludert lagrede brukernavn og passord for nettkontoer.
Det er ikke vanskelig å forstå at LastPass nå var i en meget presset situasjon, og problemene skulle ikke stoppe i 2023.
Ettervirkningene fra 2023
Selv om det ikke skjedde nye angrep mot LastPass i 2023, kom det frem stadig mer urovekkende informasjon om hendelsene i 2022.
I januar 2023 publiserte LastPass sitt morselskap, GoTo, en uttalelse om konsekvensene av angrepene i 2022. GoTos uttalelse forklarte at flere av selskapets andre tjenester, inkludert Central, Hamachi, Pro, join.me og RemotelyAnywhere, også var blitt målrettet av angripere gjennom en tredjeparts skylagringsenhet. Fra denne enheten stjal angriperne krypterte sikkerhetskopier. I tillegg avdekket GoTo at det var funnet bevis som tydet på at krypteringsnøkkelen for noen av de stjålne sikkerhetskopiene også var blitt kompromittert.
I februar 2023 havnet LastPass igjen i nyhetene da det ble avslørt at det hadde forekommet flere ondsinnede handlinger fra angriperne mellom det første og det andre angrepet i 2022.
Som det er dokumentert i X-innlegget over, kompromitterte hackerne en senior LastPass-utviklers hjemmedatamaskin i november 2022 via en sårbarhet i programvaremedier. Etter at de hadde kompromittert datamaskinen, installerte hackerne en keylogger, slik at de kunne overvåke hva utvikleren skrev på tastaturet.
Dette ga angriperne tilgang til utviklerens hovedpassord for LastPass sin bedriftshvelv, noe som gjorde det mulig for angriperne å få tilgang til selve hvelvet. Det som er sjokkerende her, er at kun fire seniorutviklere hos LastPass hadde tilgang til bedriftshvelvet, og likevel klarte angriperne å målrette en slik utvikler.
Hackere benyttet også brukernavn og passord som ble stjålet i 2022 til å stjele 4,4 millioner dollar i kryptovaluta i oktober 2023. Det antas at angriperne hadde fått tilgang til frøsetninger og nøkler til kryptolommeboken under det andre sikkerhetsbruddet i 2022, som gjorde det mulig for dem å få tilgang til lommebøker og overføre kryptovaluta til en ønsket adresse.
LastPass har en fullstendig oversikt over data som ble åpnet under angrepene i 2022, dersom du ønsker å se alt som ble avslørt som følge av hendelsene i 2022.
Er det fortsatt trygt å bruke LastPass?
Selv om LastPass har vært i bruk siden 2008, har de fleste datainnbruddene og sikkerhetshendelsene skjedd på 2020-tallet. Gitt de mange tidligere sikkerhetsproblemene, er det forståelig at man føler seg usikker på å bruke LastPass, så hva er konklusjonen? Er LastPass trygt å bruke, eller burde man velge noe annet?
Selv om det er tryggere å bruke LastPass enn en enkel notatapp eller et lignende lagringsalternativ, finnes det trolig bedre passordadministratorer på markedet i dag. Med så mange sikkerhetsbrudd i historikken har LastPass blitt uaktuelt for mange, da det er umulig å vite når et nytt brudd vil oppstå. Etter at 2022 har skapt så mange utfordringer for LastPass og deres brukere, er det ikke overraskende at enkelte brukere har valgt å gå over til passordadministratorer som ennå ikke har blitt hacket.
Dashlane og NordPass er to eksempler på anerkjente passordadministratorer som aldri har vært utsatt for sikkerhetsbrudd, så det er fullt mulig å finne en passordadministrator som ikke har fått sine kundeopplysninger eller ansattportaler kompromittert av hackere.
Dersom du bruker LastPass, men ønsker å bytte, kan du se vår veiledning for hvordan du sletter din LastPass-konto. Vi har også en praktisk veiledning om de sikreste passordadministratorene, dersom du trenger hjelp til å velge en erstatning.
Sikkerhetshendelsene hos LastPass gjør likevel ikke tjenesten til en usikker passordadministrator. Appen har fortsatt mange nyttige funksjoner for å beskytte sensitiv informasjon, og den er enkel å bruke uavhengig av tekniske ferdigheter.
LastPass er ikke toppen innen passordadministrasjon
Det er i utgangspunktet ikke noe galt med å benytte LastPass for å lagre passord, da appen generelt sett er relativt sikker. Likevel er det verdt å vurdere de ekstra sikre alternativene som finnes, hvis du ønsker å sørge for at den sensitive informasjonen din lagres så effektivt som mulig.