LastPass on tunnettu ja luotettu nimi salasanasuojauksessa, mutta sen rikkomushistoria saattaa saada sinut harkitsemaan vaihtoehtoa.

Avaimet takeawayt

  • LastPass on kokenut useita tietomurtoja aiemmin, mukaan lukien yksi vuonna 2015, joka paljasti käyttäjien sähköpostit ja pääsalasanat. Suurin osa ylimääräisiä suojauskerroksia käyttäneistä käyttäjistä oli kuitenkin todennäköisesti turvassa tietomurroilta.
  • LastPass joutui kritiikkiin vuonna 2021, kun havaittiin, että heidän Android-sovelluksensa sisälsi kolmannen osapuolen seurantalaitteita, mikä herätti huolta turvallisuudesta. LastPass vastasi toteamalla, että seurantalaitteita käytettiin sovellusten telemetriaan ja käyttäjät voivat poistaa ne käytöstä.
  • LastPass koki merkittävän tietomurron vuonna 2022, jolloin hyökkääjät pääsivät käsiksi asiakastietoihin ja käyttäjävaraston tietoihin. Tämä rikkomus johti lisäseuraamuksiin LastPassille ja sen emoyhtiölle GoTolle, mukaan lukien varastetut salatut varmuuskopiot ja todisteet käytetystä salausavaimesta.
    • instagram viewer
  • Kaiken kaikkiaan, vaikka LastPassia pidetään yleisesti turvallisena, useat tietomurrot ja tietoturvatapahtumat ovat saaneet jotkut käyttäjät etsimään vaihtoehtoisia salasananhallintaohjelmia, jotka eivät ole vaarantuneet.

Monet meistä käyttävät salasananhallintaohjelmia pitääkseen yksityiset tietomme turvassa, ja LastPass on yksi suosituimmista vaihtoehdoista. LastPass on kuitenkin kärsinyt kohtuullisen osuutensa tietomurroista, mikä on vaarantanut asiakkaiden arkaluontoiset tiedot.

Kuinka monta kertaa LastPass on hakkeroitu, ja onko sitä edelleen turvallista käyttää?

1. LastPass 2015 -rikkomus

Kuva: Ervins Strauhmanis/Flickr

Ensimmäinen LastPass-hakkerointi tapahtui kesäkuussa 2015, seitsemän vuotta yrityksen perustamisen jälkeen. Tämä vakava rikkomus paljasti LastPass-käyttäjien sähköpostit ja pääsalasanat sekä pääsalasanojen muistamiseen käytetyt vihjeet tai muistutussanat. Hakkerointi havaittiin, kun LastPass havaitsi epäilyttävän verkkotoiminnan, joka pian estettiin. Jotain vahinkoa oli kuitenkin jo tapahtunut.

Jonkin sisällä nyt vanhentunut huomautus asiakkaille (saatavilla Internet-arkiston kautta), LastPass kertoi käyttäjille, että ne, jotka käyttivät ylimääräisiä suojakerroksia, kuten salasanojen hajautus ja suolaus, olivat todennäköisesti turvassa hakkeroilta. Onneksi suurin osa LastPass-käyttäjistä käyttää näitä suojausmenetelmiä, mikä tarkoittaa, että vain pienellä osalla asiakkaista oli mahdollisuus vaikuttaa.

LastPass totesi myös, että se ei uskonut, että hyökkäyksen takia käyttäjätilejä on käytetty, mutta kehotti käyttäjät voivat vahvistaa sähköpostiosoitteensa ja uusia joka viikko tai toistuvasti käytetyt pääsalasanat tehostaakseen turvallisuus.

Muutama viikko hakkeroinnin jälkeen LastPass julkaisi blogitekstin totesi, että sen tietoturva on parantunut hakkeroinnin jälkeen, ja joukko pieniä ja suuria muutoksia on tehty asiakkaiden suojaamiseksi entisestään. Nämä muutokset sisälsivät laitteiston suojausmoduulien (HSM) käyttöönoton, jotka suojaavat LastPassin salausinfrastruktuuria.

2. LastPass 2021 -seurantatapahtuma

Vaikka LastPassia ei hakkeroitu vuonna 2021, se joutui ongelmiin, kun sen Android-sovelluksen havaittiin sisältävän kolmannen osapuolen seurantalaitteita. Helmikuussa 2021 Exodus Privacy -niminen tietoturva-analyysisovellus paljasti, että se oli löytänyt seitsemän seurantalaitetta LastPass Android -sovelluksesta, mikä herätti epäilyksiä käyttäjissä. Turvallisuustutkija Mike Kuketz kommentoi löytöä a Kuketz IT Security -blogipostaus, jossa todetaan, että "[mainosten ja seurantaohjelmien] integrointi salasananhallintasovelluksiin on täysin mahdotonta."

Kuketz listasi myös LastPass Android -sovelluksesta löytyneet seitsemän seurantalaitetta, jotka sisälsivät Google Analyticsin, Segmentin ja AppsFlyerin seurantalaitteet. Kuketz tuomitsi pääsyn myöntämisen markkinointianalytiikkaalustoille tällä tavalla, joka kirjoitti, että LastPassin lähestymistapa on "turvallisuuden kannalta erittäin kyseenalainen".

Kuketz korosti, että LastPass Android -sovellus piti tarkistaa manuaalisesti sen havaitsemiseksi, pitävätkö seurantalaitteet aktiivisesti silmällä käyttäjiä. Pelkästään jäljittäjien läsnäolon Kuketz kuitenkin totesi huonoksi käytännöksi sovellukselle, jonka on priorisoitava tietoturva.

Vastauksena tähän kritiikkiin, LastPass ilmoitti käyttäjille että se käyttää analytiikkatyökaluja. LastPass korosti, että tämä tehtiin saadakseen tietoa "sovellusten telemetriasta, virhe- ja kaatumisraportointitiedoista sekä korkean tason käyttötilastotietoja parantaakseen viime kädessä yleistä suorituskykyä, luotettavuutta ja käytettävyyttä [ sovellus]."

Todettiin myös, että LastPass-sovelluksen analytiikkaelementti oli valinnainen ominaisuus, jonka käyttäjät voivat poistaa käytöstä lisäasetuksissaan. Mutta tästä huolimatta jäljittäjien läsnäolo LastPass Android -sovelluksessa jätti huonon maun tietoturva-analyytikkojen ja käyttäjien suuhun.

3. LastPass 2022 -rikkomukset

Kesti jonkin aikaa, ennen kuin LastPass joutui uuteen kyberhyökkäykseen vuoden 2015 ensimmäisen tapauksen jälkeen. Mutta vuonna 2022 tapahtui toinen hyökkäys. Tämä oli erityisen vaikea vuosi LastPassille, ja ensimmäinen hakkerointi elokuussa aiheutti shokkiaaltoja, jotka jatkuivat vuoteen 2023 asti.

Elokuun 2022 alussa LastPass sai tietoonsa tietomurron, jossa hakkeri oli murtautunut LastPass-kehittäjän kannettavaan tietokoneeseen varastaakseen lähdekoodia ja päästäkseen yrityksen pilvipohjaiseen kehitysalustaan. Hakkeri ohitti insinöörin tilin monivaiheisen todennuksen suojauksen todentamalla itsensä onnistuneesti käyttäjänä. Vaikka tämä oli erittäin huolestuttava tapaus, hakkeri ei löytänyt asiakastietoja.

Mutta muutaman kuukauden kuluttua tilanne paheni. Joulukuussa 2022 LastPass ilmoitti, että elokuun hakkerointi oli antanut hyökkääjille tien sen infrastruktuurin herkemmille alueille, joita käytettiin ensimmäisen kerran marraskuussa. Tällä kertaa, hakkerit pääsivät LastPass-asiakastietoihin, mukaan lukien sähköpostiosoitteet ja IP-osoitteet, puhelinnumerot ja nimet. Tämän lisäksi paljastettiin tietynlaisia ​​käyttäjävaraston tietoja, mukaan lukien tallennetut käyttäjätunnukset ja salasanat verkkotileille.

Lienee tarpeetonta sanoa, että LastPass oli nyt erittäin kuumassa vedessä, eivätkä asiat lopu vuonna 2023.

Vuoden 2023 jälkivaikutukset

Vaikka vuosi 2023 ei tuonut uusia hakkereita LastPassiin, se toi yhä enemmän hämmentävää tietoa vuoden 2022 hyväksikäytöistä.

Tammikuussa 2023 LastPassin emoyhtiö GoTo julkaisi lausunnon vuoden 2022 hakkeroinnin seurauksista. GoTon lausunto selitti, että useat yrityksen muut palvelut, mukaan lukien Central, Hamachi, Pro, join.me ja RemotelyAnywhere, joutuivat myös hyökkääjien kohteena kolmannen osapuolen pilvitallennuslaitteen kautta. Tältä laitteelta hyökkääjät varastivat salattuja varmuuskopioita. Lisäksi GoTo paljasti, että se oli löytänyt todisteita, jotka viittaavat siihen, että joidenkin varastettujen varmuuskopioiden salausavain oli myös saavutettu.

Helmikuussa 2023 LastPass löysi itsensä uudelleen uutisotsikoista, kun paljastettiin, että ensimmäisen ja toisen 2022 hakkeroinnin välillä hyökkääjät olivat tehneet enemmän haitallisia toimia.

Kuten yllä olevassa X-viestissä dokumentoidaan, marraskuun 2022 hakkerit vaaransi vanhemman LastPass-kehittäjän kotitietokoneen ohjelmiston mediahaavoittuvuuden kautta. Tietokoneen hakkeroinnin jälkeen hakkerit asensivat näppäinloggerin, jonka avulla he näkivät, mitä kehittäjä kirjoitti näppäimistöllään.

Tämä antoi hyökkääjille pääsyn kehittäjän LastPass-yritysholvin pääsalasanaan, jolloin hyökkääjät pääsivät itse holviin. Tässä on järkyttävää, että vain neljällä vanhemmalla LastPass-kehittäjällä oli pääsy yrityksen holviin, ja hyökkääjät onnistuivat silti onnistuneesti kohdistamaan yhden tällaisen kehittäjän.

Hakkerit käyttivät myös vuonna 2022 varastettuja käyttäjätunnuksia 4,4 miljoonan dollarin kryptovaluuttojen varastamiseen lokakuussa 2023. Uskotaan, että hyökkääjät pääsivät käsiksi salauslompakko-siemenlauseisiin ja avaimiin toisessa 2022-loukkauksessa, jolloin he pystyivät murtautumaan lompakoihin ja nostamaan krypton haluamaansa osoitteeseen.

LastPassissa on a täydellinen luettelo vuoden 2022 hakkeroinneissa käytetyistä tiedoista jos haluat nähdä kaiken, mikä paljastettiin vuoden 2022 tapahtumien vuoksi.

Onko LastPass edelleen turvallista käyttää?

Vaikka LastPass on ollut käytössä vuodesta 2008, suurin osa sen tietomurroista ja tietoturvaloukkauksista on tapahtunut 2020-luvulla. Ottaen huomioon sen useat aiemmat tietoturvaongelmat, on luonnollista olla hieman hermostunut LastPassin käytöstä, joten mikä on tuomio? Onko LastPass turvallista käyttää, vai pitäisikö sinun valita jotain muuta?

Vaikka LastPassia on turvallisempaa käyttää kuin yksinkertaista muistiinpanosovellusta tai vastaavaa tallennusvaihtoehtoa, nykyään saattaa hyvinkin olla parempia salasanojen hallintaohjelmia. Koska LastPass on tietoturvatietueessa niin monia vikoja, se on tullut monille mahdottomaksi, koska ei tiedetä, milloin uusi rikkomus tapahtuu. Koska vuosi 2022 aiheuttaa niin monia ongelmia LastPassille ja sen käyttäjille, ei ole yllätys, että jotkut käyttäjät ovat hypänneet alukseen ja valinneet salasanojen hallintaohjelmat, joita ei ole vielä hakkeroitu.

Dashlane ja NordPass ovat vain kaksi esimerkkiä erittäin hyvämaineisista salasanojen hallinnoijista, jotka eivät ole koskaan joutuneet tietoturvaloukkauksiin. joten on varmasti mahdollista löytää salasananhallinta, jonka asiakastietoja tai työntekijäportaaleja ei ole paljastettu hakkerit.

Jos käytät tällä hetkellä LastPassia, mutta haluat mennä muualle, tutustu oppaaseemme poistamalla LastPass-tilisi. Meillä on myös kätevä opas turvallisimmat salasananhallintaohjelmat jos tarvitset apua korvaavan vaihtoehdon valinnassa.

LastPassin tietoturvahäiriöt eivät kuitenkaan tee siitä vaarallista salasananhallintaa. Sovelluksessa on edelleen monia hyödyllisiä ominaisuuksia arkaluonteisten tunnistetietojen suojaamiseen, ja se on helppokäyttöinen tekniikasta riippumatta.

LastPass ei ole salasananhallinnan kuningas

LastPassin käyttämisessä salasanojen tallentamiseen ei ole luonnostaan ​​mitään vikaa, koska sovellus on yleensä melko turvallinen. On kuitenkin syytä huomata erittäin turvalliset vaihtoehdot, jos haluat varmistaa, että arkaluontoiset tietosi tallennetaan mahdollisimman tehokkaasti.