Hvor mange ganger har LastPass blitt hacket, og er det fortsatt trygt å bruke?

by
Tweet
Share
Share
Pin
0 Shares

Viktige takeaways

  • LastPass har opplevd flere datainnbrudd tidligere, inkludert ett i 2015 som avslørte brukere-e-poster og hovedpassord. Imidlertid var flertallet av brukere som brukte ekstra sikkerhetslag sannsynligvis trygge for bruddet.
  • LastPass møtte kritikk i 2021 da det ble oppdaget at deres Android-app inneholdt tredjepartssporere, noe som vekket bekymringer om sikkerhet. LastPass svarte med å si at sporerne ble brukt til applikasjonstelemetri og kunne deaktiveres av brukere.
  • LastPass opplevde et betydelig brudd i 2022, der angripere fikk tilgang til kundedata og brukerhvelvinformasjon. Dette bruddet førte til ytterligere konsekvenser for LastPass og dets morselskap, GoTo, inkludert stjålne krypterte sikkerhetskopier og bevis på en tilgang til krypteringsnøkkelen.
  • Totalt sett, mens LastPass generelt anses som trygt, har de mange bruddene og sikkerhetshendelsene ført til at noen brukere søker alternative passordbehandlere som ikke har blitt kompromittert.

Mange av oss bruker passordbehandlere for å holde våre private data trygge, med LastPass som et av de mest populære alternativene der ute. Men LastPass har lidd sin rimelige andel av datainnbrudd, noe som har satt kundenes sensitive informasjon i fare.

Så hvor mange ganger har LastPass blitt hacket, og er det fortsatt trygt å bruke?

1. LastPass 2015 Brudd

Bildekreditt: Ervins Strauhmanis/Flickr

Det første LastPass-hacket skjedde i juni 2015, syv år etter selskapets grunnleggelse. Dette alvorlige bruddet avslørte e-postene og hovedpassordene til LastPass-brukere, samt hint eller påminnelsesord som ble brukt for å huske hovedpassord. Hacket ble lagt merke til da LastPass fanget opp mistenkelig nettverksaktivitet, som snart ble blokkert. Noen skader var imidlertid allerede gjort.

I en nå utløpt notat til kunder (tilgjengelig via Internet Archive), informerte LastPass brukere om at de som brukte ekstra sikkerhetslag som hashing og salting på passordene deres sannsynligvis var sikre fra hacket. Heldigvis bruker flertallet av LastPass-brukere disse sikkerhetsmetodene, noe som betyr at bare en liten del av kundene hadde sjansen til å bli påvirket.

LastPass uttalte også at de ikke trodde noen brukerkontoer ble åpnet på grunn av angrepet, men oppfordret brukere til å bekrefte e-postadressene sine og fornye en uke eller gjentatte ganger brukte hovedpassord for å øke sikkerheten.

  Foretrekker du kablede eller trådløse hodetelefoner mer? [Poll]

Noen uker etter hacket, LastPass publiserte et blogginnlegg uttalte at sikkerheten hadde forbedret seg siden hacket, med en rekke små og store endringer som ble gjort for å beskytte kundene ytterligere. Inkludert i disse endringene var introduksjonen av Hardware Security Modules (HSM), som beskytter LastPass sin kryptografiske infrastruktur.

2. LastPass 2021 Sporingshendelse

Selv om LastPass ikke ble hacket i 2021, fikk den problemer da det ble funnet at Android-appen inneholdt tredjepartssporere. I februar 2021 avslørte en sikkerhetsanalyseapp ved navn Exodus Privacy at den hadde funnet syv sporere i LastPass Android-appen, noe som vekket mistanke blant brukerne. Sikkerhetsforsker Mike Kuketz kommenterte funnet i en Kuketz IT Security-blogginnleggsom sier at «det er helt uaktuelt å integrere [ads and trackers] inn i passordbehandlingsapper.»

Kuketz listet også opp de syv sporerne som ble funnet i LastPass Android-appen, som inkluderte sporere fra Google Analytics, Segment og AppsFlyer. Å gi tilgang til markedsanalyseplattformer på denne måten ble fordømt av Kuketz, som skrev at LastPass sin tilnærming er «ekstremt tvilsom når det gjelder sikkerhet.»

Kuketz understreket at LastPass Android-appen måtte sjekkes manuelt for å finne ut om sporerne aktivt fulgte brukerne. Tilstedeværelsen av sporerne alene ble imidlertid bemerket av Kuketz for å være dårlig praksis for en app som må prioritere sikkerhet.

Som svar på denne kritikken, LastPass informerte brukere at den bruker analyseverktøy. LastPass la vekt på at dette ble gjort for å få innsikt i «applikasjonstelemetri, feil- og krasjrapporteringsdata, så vel som statistisk informasjon på høyt nivå for å til slutt forbedre den generelle ytelsen, påliteligheten og brukervennligheten til [the app].»

Det ble også uttalt at analyseelementet til LastPass-appen var en valgfri funksjon som brukere kunne deaktivere i sine avanserte innstillinger. Men uansett dette, etterlot tilstedeværelsen av sporere i LastPass Android-appen en dårlig smak i munnen til sikkerhetsanalytikere og brukere.

3. Brudd på LastPass 2022

Det tok litt tid før LastPass møtte enda et nettangrep etter den første hendelsen i 2015. Men i 2022 kom et nytt angrep. Dette var et spesielt tøft år for LastPass, med et første hack i august som forårsaket sjokkbølger som ville fortsette inn i 2023.

  Slik sletter du LinkedIn-kontoen din [Permanently]

Tidlig i august 2022 ble LastPass oppmerksom på et brudd der en hacker hadde kompromittert en LastPass-utviklers bærbare datamaskin for å stjele kildekode og få tilgang til selskapets skybaserte utviklingsplattform. Hackeren omgikk multifaktorautentiseringssikkerheten på ingeniørens konto ved å autentisere seg selv som bruker. Selv om dette var en svært bekymringsfull hendelse, hentet hackeren ingen kundeinformasjon.

Men noen måneder senere ble ting verre. I desember 2022 kunngjorde LastPass at august-hacket hadde gitt angripere en vei inn i mer sensitive områder av infrastrukturen, først utnyttet i november. Denne gangen fikk hackere tilgang til LastPass-kundedata, inkludert e-post og IP-adresser, telefonnumre og navn. På toppen av dette ble visse typer brukerhvelvdata avslørt, inkludert lagrede brukernavn og passord for nettkontoer.

Unødvendig å si var LastPass nå i veldig varmt vann, og ting ville ikke stoppe i 2023.

Ettervirkningene fra 2023

Selv om 2023 ikke ga noen nye hacks for LastPass, ga det mer og mer foruroligende informasjon om 2022s bedrifter.

I januar 2023 ga LastPass sitt morselskap, GoTo, ut en uttalelse om konsekvensene av hackene i 2022. GoTos uttalelse forklarte at flere av selskapets andre tjenester, inkludert Central, Hamachi, Pro, join.me og RemotelyAnywhere, også ble målrettet av angripere via en tredjeparts skylagringsenhet. Fra denne enheten stjal angripere krypterte sikkerhetskopier. Dessuten avslørte GoTo at den hadde funnet bevis som tyder på at en krypteringsnøkkel for noen av de stjålne sikkerhetskopiene også ble åpnet.

I februar 2023 fant LastPass seg selv i nyhetsoverskriftene igjen da det ble avslørt at mellom det første og andre 2022-hacket, hadde flere ondsinnede handlinger blitt utført av angripere.

Som dokumentert i X-innlegget ovenfor, kompromitterte hackerne fra november 2022 en senior LastPass-utviklers hjemmedatamaskin via et programvaremediesårbarhet. Etter å ha hacket datamaskinen, installerte hackere en keylogger, slik at de kunne se hva utvikleren skrev på tastaturet.

Dette ga angripere tilgang til utviklerens LastPass-hovedpassord for bedriftshvelv, slik at angripere fikk tilgang til selve hvelvet. Det som er sjokkerende her er at bare fire LastPass seniorutviklere hadde tilgang til bedriftshvelvet, og angripere klarte fortsatt å målrette en slik utvikler.

  7 Pålitelig JSON-vertsløsning for din moderne applikasjon

Hackere brukte også brukerlegitimasjonen som ble stjålet i 2022 for å stjele 4,4 millioner dollar i kryptovaluta i oktober 2023. Det antas at angriperne fikk tilgang til frøsetninger og nøkler til kryptolommeboken i det andre bruddet i 2022, slik at de kunne hacke seg inn i lommebøker og trekke ut krypto til ønsket. adresse.

LastPass har en fullstendig liste over data som ble åpnet i 2022-hackene hvis du vil se alt som ble avslørt på grunn av 2022-hendelsene.

Er LastPass fortsatt trygt å bruke?

Selv om LastPass har vært i bruk siden 2008, har de fleste av datainnbruddene og sikkerhetshendelsene skjedd på 2020-tallet. Gitt de mange tidligere sikkerhetsproblemene, er det naturlig å føle seg litt nervøs for å bruke LastPass, så hva er dommen her? Er LastPass trygt å bruke, eller bør du velge noe annet?

Selv om det er tryggere å bruke LastPass enn en enkel notatapp eller lignende lagringsalternativ, kan det godt finnes bedre passordbehandlere der ute i dag. Med så mange skader på sikkerhetsrekorden, har LastPass blitt en no-go for mange, siden det ikke er noe å vite når et nytt brudd vil oppstå. Med 2022 som forårsaker så mange problemer for LastPass og dets brukere, er det ingen overraskelse at noen brukere har hoppet av og valgt passordbehandlere som ennå ikke har blitt hacket.

Dashlane og NordPass er bare to eksempler på svært anerkjente passordbehandlere som aldri har vært utsatt for et sikkerhetsbrudd, så det er absolutt mulig å finne en passordbehandler som ikke har fått sine kundedata eller ansattes portaler utsatt for hackere.

Hvis du for øyeblikket bruker LastPass, men ønsker å dra et annet sted, sjekk ut vår guide for å slette LastPass-kontoen din. Vi har også en hendig guide om de sikreste passordbehandlerne hvis du trenger hjelp til å velge en erstatning.

LastPass sine sikkerhetshendelser gjør det imidlertid ikke til en usikker passordbehandler. Appen har fortsatt mange nyttige funksjoner for å beskytte sensitiv legitimasjon og er enkel å bruke uavhengig av teknisk kunnskap.

LastPass er ikke kongen av passordbehandling

Det er ingenting iboende galt med å bruke LastPass til å lagre passord, siden appen generelt er ganske trygg. Det er imidlertid verdt å merke seg de supersikre alternativene der ute hvis du vil sikre at den sensitive informasjonen din blir lagret så effektivt som mulig.