LastPass הוא שם מוכר ואמין באבטחת סיסמאות, אך היסטוריית הפרות שלו עשויה לגרום לך לשקול חלופה.

טייק אווי מפתח

  • LastPass חוותה הפרצות נתונים מרובות בעבר, כולל אחת בשנת 2015 שחשפה מיילים של משתמשים וסיסמאות אב. עם זאת, רוב המשתמשים שהשתמשו בשכבות אבטחה נוספות היו בטוחים מהפרה.
  • LastPass התמודדה עם ביקורת בשנת 2021 כאשר התגלה שאפליקציית האנדרואיד שלהם מכילה עוקבים של צד שלישי, מה שהעלה חששות לגבי אבטחה. LastPass הגיב בכך שהעוקבים שימשו לטלמטריה של יישומים וניתן להשבית אותם על ידי המשתמשים.
  • LastPass חוותה פרצה משמעותית בשנת 2022, שבה התוקפים ניגשו לנתוני לקוחות ולמידע על כספת המשתמש. הפרה זו הובילה להשלכות נוספות עבור LastPass וחברת האם שלה, GoTo, כולל גיבויים מוצפנים גנובים ועדויות למפתח הצפנה שנגיש.
  • בסך הכל, בעוד LastPass נחשבת בדרך כלל בטוחה, הפרצות המרובות ואירועי האבטחה הובילו חלק מהמשתמשים לחפש מנהלי סיסמאות חלופיים שלא נפגעו.

רבים מאיתנו משתמשים במנהלי סיסמאות כדי לשמור על בטיחות הנתונים הפרטיים שלנו, כאשר LastPass היא אחת האפשרויות הפופולריות ביותר בחוץ. אבל LastPass סבלה מהנתח ההוגן שלה בפרצות מידע, והעמידה את המידע הרגיש של הלקוחות בסיכון.

instagram viewer

אז, כמה פעמים LastPass נפרץ, והאם זה עדיין בטוח לשימוש?

1. הפרת LastPass 2015

קרדיט תמונה: Ervins Strauhmanis/פליקר

הפריצה הראשונה של LastPass התרחשה ביוני 2015, שבע שנים לאחר הקמת החברה. הפרה החמורה הזו חשפה את המיילים ואת סיסמאות האב של משתמשי LastPass, כמו גם את הרמז או מילות התזכורת ששימשו לזכור סיסמאות אב. הפריצה הבחינה כאשר LastPass קלטה פעילות חשודה ברשת, שנחסמה במהרה. עם זאת, נזק מסוים כבר נגרם.

ב הערה שפג תוקפו ללקוחות (זמין דרך ארכיון האינטרנט), LastPass הודיעה למשתמשים שאלו שהשתמשו בשכבות אבטחה נוספות כמו hashing והמלחה על הסיסמאות שלהם כנראה בטוחים מהפריצה. למרבה המזל, רוב משתמשי LastPass משתמשים בשיטות האבטחה הללו, כלומר רק לחלק קטן מהלקוחות היה סיכוי להיפגע.

LastPass גם הצהירה כי היא לא מאמינה שהגישה לחשבונות משתמש כלשהם עקב המתקפה, אך היא הפצירה משתמשים כדי לאמת את כתובות הדוא"ל שלהם ולחדש כל שבוע או להשתמש שוב ושוב בסיסמאות מאסטר כדי להגביר בִּטָחוֹן.

כמה שבועות לאחר הפריצה, LastPass פרסם פוסט בבלוג הצהיר כי האבטחה שלו השתפרה מאז הפריצה, עם מערך של שינויים קטנים וגדולים שנעשו כדי להגן על הלקוחות עוד יותר. כלולים בשינויים אלה הכנסת מודולי אבטחת חומרה (HSM), המגינים על תשתית ההצפנה של LastPass.

2. תקרית המעקב של LastPass 2021

למרות ש-LastPass לא נפרצה בשנת 2021, היא נתקלה בבעיות כאשר נמצא כי אפליקציית האנדרואיד שלה מכילה עוקבים של צד שלישי. בפברואר 2021, אפליקציית ניתוח אבטחה בשם Exodus Privacy חשפה כי היא מצאה שבעה עוקבים באפליקציית LastPass Android, מה שעורר חשד בקרב משתמשים. חוקר האבטחה מייק קוקץ התייחס לגילוי ב-a פוסט בבלוג של Kuketz IT Security, וקבע כי "זה לגמרי לא בא בחשבון לשלב [מודעות ומעקבים] באפליקציות למנהל סיסמאות."

Kuketz גם מנה את שבעת העוקבים שנמצאו באפליקציית LastPass Android, שכללה עוקבים מ-Google Analytics, Segment ו-AppsFlyer. הענקת גישה לפלטפורמות אנליטיות שיווקיות בדרך זו גינתה על ידי קוקץ, שכתבה כי הגישה של LastPass "מפוקפקת ביותר מבחינת אבטחה".

Kuketz הדגיש כי יש לבדוק את אפליקציית LastPass Android באופן ידני כדי להבחין אם העוקבים עוקבים באופן פעיל אחר המשתמשים. עם זאת, נוכחותם של העוקבים לבדה צוינה על ידי קוקץ כמנהג רע עבור אפליקציה שצריכה לתעדף אבטחה.

בתגובה לביקורת הזו, LastPass הודיע ​​למשתמשים שהיא אכן משתמשת בכלי ניתוח. LastPass הדגיש כי זה נעשה כדי לקבל תובנות לגבי "נתוני טלמטריית יישומים, שגיאות ודיווח קריסה, כמו גם מידע סטטיסטי על שימוש ברמה גבוהה כדי לשפר בסופו של דבר את הביצועים הכוללים, המהימנות והשימושיות של [ה אפליקציה]."

כמו כן, צוין כי אלמנט הניתוח של אפליקציית LastPass הוא תכונה אופציונלית שמשתמשים יכולים להשבית בהגדרות המתקדמות שלהם. אך ללא קשר לכך, נוכחותם של עוקבים באפליקציית LastPass Android השאירה טעם רע בפיהם של מנתחי אבטחה ומשתמשים.

3. הפרות של LastPass 2022

לקח קצת זמן עד ל-LastPass להיתקל במתקפת סייבר נוספת לאחר התקרית הראשונית ב-2015. אבל ב-2022 אכן הגיעה מתקפה נוספת. זו הייתה שנה קשה במיוחד עבור LastPass, עם פריצה ראשונית באוגוסט שגרמה לגלי הלם שימשיכו עד 2023.

בתחילת אוגוסט 2022, LastPass נודע להפרה שבה האקר פגע במחשב נייד של מפתח LastPass כדי לגנוב קוד מקור ולגשת לפלטפורמת הפיתוח מבוססת הענן של החברה. ההאקר עקף את אבטחת האימות הרב-גורמי בחשבון המהנדס על ידי אימות מוצלח כמשתמש. למרות שזה היה תקרית מאוד מדאיגה, ההאקר לא אחזר מידע על הלקוח.

אבל כמה חודשים לאחר מכן, המצב החמיר. בדצמבר 2022, LastPass הודיעה שהפריצה באוגוסט נתנה לתוקפים דרך לאזורים רגישים יותר של התשתית שלה, שניצלו לראשונה בנובמבר. הפעם, האקרים ניגשו לנתוני לקוחות LastPass, כולל כתובות אימייל ו-IP, מספרי טלפון ושמות. נוסף על כך, סוגים מסוימים של נתוני כספת משתמשים נחשפו, כולל שמות משתמש וסיסמאות מאוחסנים לחשבונות מקוונים.

מיותר לציין ש- LastPass היה כעת במים חמים מאוד, והדברים לא יפסיקו ב-2023.

תוצאות 2023

למרות ש-2023 לא הביאה פריצות חדשות ל-LastPass, היא הביאה עוד ועוד מידע מטריד על מעללי 2022.

בינואר 2023, חברת האם של LastPass, GoTo, פרסמה הצהרה לגבי ההשלכות של הפריצות ב-2022. ההצהרה של GoTo הסביר שכמה מהשירותים האחרים של החברה, כולל Central, Hamachi, Pro, join.me ו-RemotelyAnywhere, היו ממוקדים גם הם על ידי תוקפים באמצעות התקן אחסון ענן של צד שלישי. מהמכשיר הזה, התוקפים גנבו גיבויים מוצפנים. יתרה מכך, GoTo חשפה כי מצאה ראיות המצביעות על גישה למפתח הצפנה עבור חלק מהגיבויים הגנובים.

בפברואר 2023, LastPass מצאה את עצמה שוב בכותרות החדשות כאשר נחשף שבין הפריצה הראשונה לשנייה של 2022, בוצעו פעולות זדוניות יותר על ידי תוקפים.

כפי שתועד בפוסט X למעלה, ההאקרים מנובמבר 2022 פגע במחשב הביתי של מפתח LastPass בכיר באמצעות פגיעות של מדיה תוכנה. לאחר פריצת המחשב, האקרים התקינו Keylogger, מה שאיפשר להם לראות מה המפתח מקליד במקלדת שלהם.

זה נתן לתוקפים גישה לסיסמת הכספת הראשית של LastPass הארגונית של המפתח, מה שאפשר לתוקפים לגשת לכספת עצמה. מה שמזעזע כאן הוא שרק לארבעה מפתחים בכירים של LastPass הייתה גישה לכספת הארגונית, ותוקפים עדיין הצליחו למקד בהצלחה מפתח אחד כזה.

האקרים השתמשו גם באישורי המשתמש שנגנבו ב-2022 כדי לגנוב 4.4 מיליון דולר במטבע קריפטוגרפי באוקטובר 2023. ההערכה היא שהתוקפים ניגשו לביטויים ומפתחות של ארנק קריפטו בפרצה השנייה של 2022, מה שאפשר להם לפרוץ לארנקים ולמשוך קריפטו לכתובת הרצויה להם.

ל-LastPass יש א רשימה מלאה של נתונים שאליהם ניגש בפריצות 2022 אם תרצו לראות את כל מה שנחשף עקב התקריות ב-2022.

האם LastPass עדיין בטוח לשימוש?

למרות ש- LastPass בשירות מאז 2008, רוב הפרצות הנתונים ואירועי האבטחה שלה התרחשו בשנות ה-2020. בהתחשב בבעיות האבטחה המרובות שלו בעבר, זה טבעי להרגיש קצת עצבני לגבי השימוש ב- LastPass, אז מה פסק הדין כאן? האם LastPass בטוח לשימוש, או שעליכם לבחור במשהו אחר?

למרות שבטוח יותר להשתמש ב-LastPass מאשר באפליקציית הערות פשוטה או אפשרות אחסון דומה, בהחלט עשויים להיות מנהלי סיסמאות טובים יותר כיום. עם כל כך הרבה תקלות ברשומת האבטחה שלה, LastPass הפך לאפשרות אסורה עבור רבים, מכיוון שאין לדעת מתי תתרחש הפרה נוספת. מכיוון ש-2022 גורמת לכל כך הרבה בעיות עבור LastPass והמשתמשים שלה, אין זה מפתיע שחלק מהמשתמשים קפצו לספינה, ובחרו במנהלי סיסמאות שעדיין לא נפרצו.

Dashlane ו-NordPass הן רק שתי דוגמאות למנהלי סיסמאות בעלי מוניטין רב שמעולם לא סבלו מפרצת אבטחה, אז בהחלט אפשר למצוא מנהל סיסמאות שלא נחשפו לנתוני הלקוחות שלו או לפורטלי העובדים שלו האקרים.

אם אתה משתמש כרגע ב-LastPass אבל רוצה ללכת למקום אחר, עיין במדריך שלנו בנושא מחיקת חשבון LastPass שלך. יש לנו גם מדריך שימושי בנושא מנהלי הסיסמאות הבטוחים ביותר אם אתה צריך עזרה בבחירת תחליף.

עם זאת, אירועי האבטחה של LastPass אינם הופכים אותו למנהל סיסמאות לא בטוח. לאפליקציה עדיין יש תכונות שימושיות רבות להגנה על אישורים רגישים והיא קלה לשימוש ללא קשר ליכולת הטכנית.

LastPass הוא לא המלך של ניהול סיסמאות

אין שום דבר רע מטבעו בשימוש ב- LastPass לאחסון סיסמאות, מכיוון שהאפליקציה בדרך כלל בטוחה למדי. עם זאת, כדאי לשים לב לחלופות הסופר מאובטחות בחוץ אם ברצונך להבטיח שהמידע הרגיש שלך יאוחסן בצורה יעילה ככל האפשר.