Сколько раз LastPass был взломан? Безопасно ли его использовать?
Многие из нас используют менеджеры паролей для обеспечения безопасности наших личных данных, причем LastPass является одним из самых популярных доступных вариантов. Но LastPass пострадал от многочисленных утечек данных, что поставило под угрозу конфиденциальную информацию клиентов.
Так сколько раз LastPass был взломан и безопасно ли его использовать?
1. Дело о нарушении в 2015 году
Первый взлом LastPass произошел в июне 2015 года, через семь лет после основания компании. В результате этого громкого нарушения были раскрыты электронные письма и мастер-пароли пользователей LastPass, а также слова-подсказки или напоминания, используемые для запоминания мастер-паролей. О взломе стало известно, когда LastPass обнаружил подозрительную сетевую активность, которая вскоре была заблокирована. Однако некоторый ущерб был нанесен.
В записке для клиентов, срок действия которой истек, (доступной в Интернет-архиве) LastPass сообщил пользователям, что те, кто использует дополнительные уровни безопасности, будут в безопасности от взлома. К счастью, большинство пользователей LastPass используют эти методы безопасности, а это означает, что затрагивается лишь небольшая часть клиентов.
LastPass также заявил, что не считает, что в результате атаки был получен доступ к каким-либо учетным записям пользователей, но призвал пользователей подтвердить свои адреса электронной почты или использовать несколько главных паролей для дополнительной безопасности.
Через несколько недель после взлома LastPass опубликовал сообщение в блоге, в котором говорится, что безопасность сервиса улучшилась после взлома, а для защиты клиентов был внесен ряд больших и малых изменений, включая введение аппаратного модуля безопасности (HSM), который защищает Криптографическая инфраструктура LastPass.
2. Проблемы с отслеживанием в 2021 году
Хотя LastPass не был взломан в 2021 году, у него возникли проблемы, когда в его приложении для Android было обнаружено наличие сторонних трекеров. В феврале 2021 года приложение для анализа безопасности под названием Exodus Privacy обнаружило семь трекеров в приложении LastPass для Android, что вызвало подозрения среди пользователей. Исследователь безопасности Майк Кукетц прокомментировал полученные результаты в сообщении в блоге Kuketz IT Security, заявив, что «об интеграции (рекламы и трекеров) в приложения-менеджеры паролей совершенно не может быть и речи». произойти не может».
Кукетц также перечислил семь трекеров, обнаруженных в Android-приложении LastPass, включая трекеры Google Analytics, Segment и AppsFlyer. Предоставление доступа к платформам маркетинговой аналитики таким образом было осуждено Кукетцем, который написал, что подход LastPass был «крайне сомнительно с точки зрения безопасности» .
Кукетц подчеркнул, что Android-приложение LastPass необходимо протестировать вручную, чтобы увидеть, активно ли трекер следит за пользователями. Однако Кукетц отметил само наличие трекеров как плохую практику для приложения, которое уделяет приоритетное внимание безопасности.
В ответ на эту критику LastPass сообщил пользователям, что использует инструменты аналитики. LastPass подчеркивает, что это сделано для лучшего понимания «данные удаленного отчета о сбоях и ошибках приложения, а также общая статистика использования, чтобы в конечном итоге улучшить производительность, надежность и общее удобство использования (приложения)» .
Также утверждается, что элемент аналитики приложения LastPass — это дополнительная функция, которую пользователи могут отключить в дополнительных настройках. Но присутствие трекера в Android-приложении LastPass, тем не менее, произвело плохое впечатление на аналитиков безопасности и пользователей.
3. Нарушение 2022 года
LastPass потребовалось некоторое время, чтобы подвергнуться еще одной кибератаке после первого инцидента в 2015 году. В 2022 году действительно произошла еще одна атака. Для LastPass это был особенно тяжелый год: первый взлом в августе вызвал потрясение в 2023 году.
В начале августа 2022 года LastPass узнал об уязвимости, благодаря которой хакеры взломали ноутбук разработчика LastPass, чтобы украсть исходный код и получить доступ к облачной платформе разработки компании. Хакеры обошли систему многофакторной аутентификации в учетной записи инженера, успешно пройдя аутентификацию в качестве пользователя. Хотя это очень тревожный инцидент, хакер не получил информацию о клиенте.
Но через несколько месяцев дела пошли еще хуже. В декабре 2022 года LastPass объявил, что августовский взлом дал злоумышленникам возможность проникнуть в более уязвимые области инфраструктуры сервиса, что впервые было использовано в ноябре. На этот раз хакеры получили доступ к данным клиентов LastPass, включая адреса электронной почты и IP-адреса, номера телефонов и имена. Кроме того, были раскрыты несколько типов данных пользовательских хранилищ, включая имена пользователей и сохраненные пароли для онлайн-аккаунтов.
Излишне говорить, что в 2023 году ситуация не остановится.
Последствия в 2023 году
Хотя в 2023 году новых взломов LastPass не произошло, появляется все больше тревожных сообщений о взломах, произошедших в 2022 году.
В январе 2023 года материнская компания LastPass, GoTo, опубликовала заявление о последствиях взлома в 2022 году. В заявлении GoTo поясняется, что несколько других сервисов компании, включая Central, Hamachi, Pro, join.me и RemotelyAnywhere, также стали объектом атаки злоумышленников через сторонние облачные устройства хранения данных. С этого устройства злоумышленник похитил зашифрованные резервные копии. Кроме того, GoTo сообщила, что обнаружила доказательства того, что был получен доступ к ключам шифрования некоторых украденных резервных копий.
В феврале 2023 года LastPass снова попал в заголовки новостей, когда выяснилось, что между первым и вторым взломом в 2022 году злоумышленники совершили несколько злонамеренных действий.
Как указано в сообщении X выше, в ноябре 2022 года хакеры взломали домашний компьютер старшего разработчика LastPass через уязвимость в программном обеспечении. После взлома компьютера хакеры установили кейлоггер, позволяющий видеть, что разработчик набирает на клавиатуре.
Это дает злоумышленнику доступ к мастер-паролю хранилища паролей LastPass разработчика, позволяя злоумышленнику получить доступ к самому хранилищу. Что шокирует, так это то, что только четыре старших разработчика LastPass имели доступ к хранилищу паролей компании, и злоумышленники все же успешно атаковали одного из этих четырех.
Хакеры также использовали учетные данные пользователей, украденные в 2022 году, чтобы украсть криптовалюту на сумму 4,4 миллиона долларов в октябре 2023 года. Предполагается, что злоумышленники получили доступ к ключам и исходной фразе криптовалютного кошелька во время второго взлома в 2022 году, что позволило хакерам взломать кошелек и вывести криптовалюту, чтобы желаемый адрес.
LastPass содержит полный список данных, к которым был получен доступ в результате хакерских атак 2022 года, если вы хотите увидеть все, что было раскрыто в результате инцидента 2022 года.
LastPass по-прежнему безопасно использовать?
Несмотря на то, что LastPass работает с 2008 года, большинство утечек данных и инцидентов безопасности произошли в 2020-х годах. Учитывая множество проблем с безопасностью, вполне естественно немного нервничать, когда возникает вопрос: «естественно ли использование LastPass?» Так безопасно ли использовать LastPass или вам следует выбрать другой инструмент?
Хотя использование LastPass более безопасно, чем простое приложение для заметок или аналогичный вариант хранения, сегодня могут быть доступны лучшие менеджеры паролей. Из-за такого большого количества недостатков в аспекте безопасности LastPass стал для многих игнорируемым вариантом, поскольку они боятся не знать, когда произойдет еще одно нарушение. Поскольку 2022 год принес столько проблем для LastPass и его пользователей, неудивительно, что некоторые пользователи обратились к менеджерам паролей, которые еще не были взломаны.
Dashlane и NordPass — это всего лишь два примера надежных менеджеров паролей, которые никогда не подвергались нарушениям безопасности, поэтому, безусловно, можно найти менеджер паролей без данных клиентов или шлюзов. Информация о сотрудниках подверглась атаке хакеров.
Однако проблемы безопасности LastPass не делают его небезопасным менеджером паролей. Это приложение по-прежнему имеет множество полезных функций для защиты конфиденциальных учетных данных, и его легко использовать независимо от того, разбирается в технологиях пользователь или нет.
В приведенной выше статье вы познакомились с вопросом: «Сколько раз LastPass был взломан? Безопасно ли его использовать?». СоветыНадейтесь, что эта статья вам поможет! Если эта статья кажется вам интересной и полезной, не забудьте поделиться ею. Спасибо!
