Πόσες φορές έχει χακαριστεί το LastPass και είναι ακόμα ασφαλές στη χρήση;

Πόσες φορές έχει χακαριστεί το LastPass και είναι ακόμα ασφαλές στη χρήση;
Tweet
Share
Share
Pin

Βασικά Takeaways

  • Το LastPass έχει αντιμετωπίσει πολλές παραβιάσεις δεδομένων στο παρελθόν, συμπεριλαμβανομένης μιας το 2015 που αποκάλυψε τα email των χρηστών και τους κύριους κωδικούς πρόσβασης. Ωστόσο, η πλειονότητα των χρηστών που χρησιμοποίησαν επιπλέον επίπεδα ασφαλείας ήταν πιθανότατα ασφαλείς από την παραβίαση.
  • Το LastPass αντιμετώπισε κριτική το 2021, όταν ανακαλύφθηκε ότι η εφαρμογή Android περιείχε ιχνηλάτες τρίτων, εγείροντας ανησυχίες σχετικά με την ασφάλεια. Το LastPass απάντησε δηλώνοντας ότι οι ιχνηλάτες χρησιμοποιήθηκαν για τηλεμετρία εφαρμογών και μπορούσαν να απενεργοποιηθούν από τους χρήστες.
  • Το LastPass αντιμετώπισε μια σημαντική παραβίαση το 2022, όπου οι εισβολείς είχαν πρόσβαση σε δεδομένα πελατών και σε πληροφορίες θυρίδας αποθήκευσης χρηστών. Αυτή η παραβίαση οδήγησε σε περαιτέρω συνέπειες για το LastPass και τη μητρική του εταιρεία, την GoTo, συμπεριλαμβανομένων κλεμμένων κρυπτογραφημένων αντιγράφων ασφαλείας και αποδεικτικών στοιχείων για πρόσβαση σε κλειδί κρυπτογράφησης.
  • Συνολικά, ενώ το LastPass θεωρείται γενικά ασφαλές, οι πολλαπλές παραβιάσεις και τα περιστατικά ασφάλειας έχουν οδηγήσει ορισμένους χρήστες να αναζητήσουν εναλλακτικούς διαχειριστές κωδικών πρόσβασης που δεν έχουν παραβιαστεί.

Πολλοί από εμάς χρησιμοποιούμε διαχειριστές κωδικών πρόσβασης για να διατηρήσουμε τα προσωπικά μας δεδομένα ασφαλή, με το LastPass να είναι μία από τις πιο δημοφιλείς επιλογές εκεί έξω. Αλλά το LastPass έχει υποστεί το μερίδιο παραβίασης δεδομένων, θέτοντας σε κίνδυνο τις ευαίσθητες πληροφορίες των πελατών.

Λοιπόν, πόσες φορές έχει χακαριστεί το LastPass και εξακολουθεί να είναι ασφαλές για χρήση;

1. Παράβαση LastPass 2015

Πηγή εικόνας: Ervins Strauhmanis/Flickr

Το πρώτο χακάρισμα του LastPass συνέβη τον Ιούνιο του 2015, επτά χρόνια μετά την ίδρυση της εταιρείας. Αυτή η σοβαρή παραβίαση αποκάλυψε τα email και τους κύριους κωδικούς πρόσβασης των χρηστών του LastPass, καθώς και τις λέξεις υπόδειξης ή υπενθύμισης που χρησιμοποιούνται για την απομνημόνευση των κύριων κωδικών πρόσβασης. Το hack έγινε αντιληπτό όταν το LastPass εντόπισε ύποπτη δραστηριότητα δικτύου, η οποία σύντομα αποκλείστηκε. Ωστόσο, κάποιες ζημιές είχαν ήδη γίνει.

Σε ένα σημείωμα που έχει λήξει σε πελάτες (διαθέσιμο μέσω του Internet Archive), το LastPass ενημέρωσε τους χρήστες ότι όσοι χρησιμοποίησαν επιπλέον επίπεδα ασφαλείας, όπως κατακερματισμός και salting στους κωδικούς πρόσβασής τους, ήταν πιθανότατα ασφαλείς από την εισβολή. Ευτυχώς, η πλειονότητα των χρηστών του LastPass χρησιμοποιεί αυτές τις μεθόδους ασφαλείας, πράγμα που σημαίνει ότι μόνο ένα μικρό μέρος των πελατών είχε την πιθανότητα να επηρεαστεί.

  9 τρόποι για να διορθώσετε το σφάλμα 963 του Google Play Store

Η LastPass δήλωσε επίσης ότι δεν πιστεύει ότι έγινε πρόσβαση σε λογαριασμούς χρηστών λόγω της επίθεσης, αλλά προέτρεψε τους χρήστες να επαληθεύσουν τις διευθύνσεις email τους και να ανανεώσουν οποιαδήποτε εβδομάδα ή χρησιμοποιούσαν επανειλημμένα κύριους κωδικούς πρόσβασης για να ενισχύσουν την ασφάλεια.

Λίγες εβδομάδες μετά το hack, Το LastPass δημοσίευσε μια ανάρτηση ιστολογίου δηλώνοντας ότι η ασφάλειά του είχε βελτιωθεί από το hack, με μια σειρά από μικρές και μεγάλες αλλαγές που έγιναν για την περαιτέρω προστασία των πελατών. Σε αυτές τις αλλαγές περιλαμβανόταν η εισαγωγή των Μονάδων Ασφαλείας Υλικού (HSM), που προστατεύουν την κρυπτογραφική υποδομή του LastPass.

2. Περιστατικό παρακολούθησης LastPass 2021

Αν και το LastPass δεν παραβιάστηκε το 2021, αντιμετώπισε προβλήματα όταν διαπιστώθηκε ότι η εφαρμογή Android του περιείχε ιχνηλάτες τρίτων. Τον Φεβρουάριο του 2021, μια εφαρμογή ανάλυσης ασφαλείας με το όνομα Exodus Privacy αποκάλυψε ότι είχε βρει επτά ιχνηλάτες στην εφαρμογή LastPass Android, προκαλώντας υποψίες στους χρήστες. Ο ερευνητής ασφαλείας Mike Kuketz σχολίασε την ανακάλυψη στο α Ανάρτηση ιστολογίου Kuketz IT Securityδηλώνοντας ότι «αποκλείεται εντελώς η ενσωμάτωση [ads and trackers] σε εφαρμογές διαχείρισης κωδικών πρόσβασης.”

Ο Kuketz απαρίθμησε επίσης τους επτά ιχνηλάτες που βρέθηκαν στην εφαρμογή LastPass Android, η οποία περιελάμβανε ιχνηλάτες από το Google Analytics, το Segment και το AppsFlyer. Η παραχώρηση πρόσβασης σε πλατφόρμες ανάλυσης μάρκετινγκ με αυτόν τον τρόπο καταδικάστηκε από τον Kuketz, ο οποίος έγραψε ότι η προσέγγιση του LastPass είναι «εξαιρετικά αμφισβητήσιμη από την άποψη της ασφάλειας».

Ο Kuketz υπογράμμισε ότι η εφαρμογή Android LastPass έπρεπε να ελεγχθεί χειροκίνητα για να διαπιστωθεί εάν οι ιχνηλάτες κρατούσαν ενεργά καρτέλες στους χρήστες. Η παρουσία και μόνο των ιχνηλατών, ωστόσο, σημειώθηκε από τον Kuketz ως κακή πρακτική για μια εφαρμογή που πρέπει να δώσει προτεραιότητα στην ασφάλεια.

Σε απάντηση αυτής της κριτικής, Το LastPass ενημέρωσε τους χρήστες ότι χρησιμοποιεί εργαλεία ανάλυσης. Το LastPass τόνισε ότι αυτό έγινε για να ληφθούν πληροφορίες σχετικά με «τηλεμετρία εφαρμογών, δεδομένα αναφοράς σφαλμάτων και σφαλμάτων, καθώς και στατιστικές πληροφορίες χρήσης υψηλού επιπέδου για τη βελτίωση της συνολικής απόδοσης, αξιοπιστίας και χρηστικότητας του [the app].»

Αναφέρθηκε επίσης ότι το στοιχείο αναλυτικών στοιχείων της εφαρμογής LastPass ήταν μια προαιρετική δυνατότητα που οι χρήστες μπορούσαν να απενεργοποιήσουν στις σύνθετες ρυθμίσεις τους. Ωστόσο, ανεξάρτητα από αυτό, η παρουσία ιχνηλατών στην εφαρμογή LastPass Android άφησε μια άσχημη γεύση στα στόματα αναλυτών ασφαλείας και χρηστών.

3. Παραβιάσεις του LastPass 2022

Χρειάστηκε λίγος χρόνος για να αντιμετωπίσει το LastPass άλλη μια κυβερνοεπίθεση μετά το αρχικό περιστατικό του 2015. Αλλά το 2022, μια άλλη επίθεση ήρθε πράγματι. Αυτή ήταν μια ιδιαίτερα δύσκολη χρονιά για το LastPass, με ένα αρχικό hack τον Αύγουστο που προκάλεσε κρουστικά κύματα που θα συνεχίζονταν μέχρι το 2023.

  Πώς να χρησιμοποιήσετε τις Side-by-Side Apps (Split View) σε ένα iPad

Στις αρχές Αυγούστου 2022, το LastPass αντιλήφθηκε μια παραβίαση όπου ένας χάκερ είχε παραβιάσει τον φορητό υπολογιστή προγραμματιστή του LastPass για να κλέψει τον πηγαίο κώδικα και να αποκτήσει πρόσβαση στην πλατφόρμα ανάπτυξης που βασίζεται στο cloud της εταιρείας. Ο χάκερ παρέκαμψε την ασφάλεια ελέγχου ταυτότητας πολλαπλών παραγόντων στον λογαριασμό του μηχανικού, επαληθεύοντας επιτυχώς τον εαυτό του ως χρήστη. Αν και αυτό ήταν ένα πολύ ανησυχητικό περιστατικό, ο χάκερ δεν ανέκτησε πληροφορίες πελατών.

Αλλά λίγους μήνες αργότερα, τα πράγματα έγιναν χειρότερα. Τον Δεκέμβριο του 2022, το LastPass ανακοίνωσε ότι η πειρατεία του Αυγούστου έδωσε στους εισβολείς μια διέξοδο σε πιο ευαίσθητες περιοχές της υποδομής του, που εκμεταλλεύτηκαν για πρώτη φορά τον Νοέμβριο. Αυτή τη φορά, οι χάκερ είχαν πρόσβαση σε δεδομένα πελατών του LastPass, συμπεριλαμβανομένων διευθύνσεων email και IP, αριθμών τηλεφώνου και ονομάτων. Επιπλέον, εκτέθηκαν ορισμένα είδη δεδομένων αποθήκης χρηστών, συμπεριλαμβανομένων αποθηκευμένων ονομάτων χρήστη και κωδικών πρόσβασης για διαδικτυακούς λογαριασμούς.

Περιττό να πούμε ότι το LastPass ήταν πλέον σε πολύ ζεστό νερό και τα πράγματα δεν θα σταματούσαν το 2023.

Τα επακόλουθα του 2023

Αν και το 2023 δεν έφερε νέα hacks για το LastPass, έφερε όλο και περισσότερες ανησυχητικές πληροφορίες για τα exploits του 2022.

Τον Ιανουάριο του 2023, η μητρική εταιρεία του LastPass, η GoTo, δημοσίευσε μια δήλωση σχετικά με τις συνέπειες των hacks του 2022. Η δήλωση του GoTo εξήγησε ότι αρκετές από τις άλλες υπηρεσίες της εταιρείας, συμπεριλαμβανομένων των Central, Hamachi, Pro, join.me και RemotelyAnywhere, στοχοποιήθηκαν επίσης από εισβολείς μέσω μιας συσκευής αποθήκευσης cloud τρίτων. Από αυτήν τη συσκευή, οι εισβολείς έκλεψαν κρυπτογραφημένα αντίγραφα ασφαλείας. Επιπλέον, η GoTo αποκάλυψε ότι είχε βρει στοιχεία που υποδεικνύουν ότι είχε επίσης πρόσβαση σε ένα κλειδί κρυπτογράφησης για ορισμένα από τα κλεμμένα αντίγραφα ασφαλείας.

Τον Φεβρουάριο του 2023, το LastPass βρέθηκε ξανά στους τίτλους των ειδήσεων, όταν αποκαλύφθηκε ότι, μεταξύ του πρώτου και του δεύτερου hacks του 2022, είχαν πραγματοποιηθεί περισσότερες κακόβουλες ενέργειες από τους εισβολείς.

Όπως τεκμηριώνεται στην παραπάνω ανάρτηση X, οι χάκερ του Νοεμβρίου 2022 παραβίασαν τον οικιακό υπολογιστή ενός ανώτερου προγραμματιστή του LastPass μέσω μιας ευπάθειας στα μέσα λογισμικού. Αφού χάκαραν τον υπολογιστή, οι χάκερ εγκατέστησαν ένα keylogger, δίνοντάς τους τη δυνατότητα να δουν τι πληκτρολογούσε ο προγραμματιστής στο πληκτρολόγιό τους.

Αυτό έδωσε στους εισβολείς πρόσβαση στον κύριο κωδικό πρόσβασης του εταιρικού θησαυροφυλάκιου LastPass του προγραμματιστή, επιτρέποντας στους εισβολείς να έχουν πρόσβαση στο ίδιο το θησαυροφυλάκιο. Αυτό που είναι σοκαριστικό εδώ είναι ότι μόνο τέσσερις ανώτεροι προγραμματιστές του LastPass είχαν πρόσβαση στο εταιρικό θησαυροφυλάκιο και οι εισβολείς κατάφεραν να στοχεύσουν με επιτυχία έναν τέτοιο προγραμματιστή.

  Οι 8 καλύτερες εφαρμογές ύπνου για το Apple Watch για να κοιμάστε πιο έξυπνα και να ξυπνάτε πιο χαρούμενοι

Οι χάκερ χρησιμοποίησαν επίσης τα διαπιστευτήρια χρήστη που είχαν κλαπεί το 2022 για να κλέψουν 4,4 εκατομμύρια δολάρια σε κρυπτονομίσματα τον Οκτώβριο του 2023. Θεωρείται ότι οι εισβολείς είχαν πρόσβαση σε φράσεις και κλειδιά του πορτοφολιού κρυπτογράφησης στη δεύτερη παραβίαση του 2022, επιτρέποντάς τους να χακάρουν πορτοφόλια και να αποσύρουν τα κρυπτονομίσματα στο επιθυμητό διεύθυνση.

Το LastPass έχει ένα πλήρης κατάλογος δεδομένων στα οποία έχει πρόσβαση στις εισβολές του 2022 αν θέλετε να δείτε όλα όσα αποκαλύφθηκαν λόγω των περιστατικών του 2022.

Είναι το LastPass ακόμα ασφαλές στη χρήση;

Αν και το LastPass είναι σε λειτουργία από το 2008, οι περισσότερες από τις παραβιάσεις δεδομένων και τα περιστατικά ασφάλειας έχουν σημειωθεί τη δεκαετία του 2020. Δεδομένων των πολλαπλών προβλημάτων ασφαλείας του παρελθόντος, είναι φυσικό να αισθάνεστε λίγο νευρικοί σχετικά με τη χρήση του LastPass, οπότε ποια είναι η ετυμηγορία εδώ; Είναι το LastPass ασφαλές στη χρήση ή θα πρέπει να επιλέξετε κάτι άλλο;

Αν και είναι ασφαλέστερο να χρησιμοποιείτε το LastPass από μια απλή εφαρμογή σημειώσεων ή παρόμοια επιλογή αποθήκευσης, μπορεί να υπάρχουν καλύτεροι διαχειριστές κωδικών πρόσβασης σήμερα εκεί έξω. Με τόσα πολλά προβλήματα στο αρχείο ασφαλείας του, το LastPass έχει γίνει απαγορευτικό για πολλούς, καθώς δεν γνωρίζουμε πότε θα συμβεί άλλη παραβίαση. Με το 2022 να προκαλεί τόσα πολλά ζητήματα για το LastPass και τους χρήστες του, δεν αποτελεί έκπληξη το γεγονός ότι ορισμένοι χρήστες άρχισαν να επιλέγουν διαχειριστές κωδικών πρόσβασης που δεν έχουν ακόμη χακαριστεί.

Το Dashlane και το NordPass είναι μόνο δύο παραδείγματα πολύ αξιόπιστων διαχειριστών κωδικών πρόσβασης που δεν έχουν υποστεί ποτέ παραβίαση ασφαλείας, επομένως είναι σίγουρα δυνατό να βρείτε έναν διαχειριστή κωδικών πρόσβασης που δεν έχει εκτεθούν τα δεδομένα πελατών ή οι πύλες εργαζομένων του σε χάκερ.

Εάν χρησιμοποιείτε αυτήν τη στιγμή το LastPass αλλά θέλετε να πάτε αλλού, ρίξτε μια ματιά στον οδηγό μας για τη διαγραφή του λογαριασμού σας LastPass. Έχουμε επίσης έναν εύχρηστο οδηγό για τους ασφαλέστερους διαχειριστές κωδικών πρόσβασης, εάν χρειάζεστε βοήθεια για την επιλογή αντικατάστασης.

Ωστόσο, τα περιστατικά ασφαλείας του LastPass δεν το καθιστούν μη ασφαλή διαχειριστή κωδικών πρόσβασης. Η εφαρμογή εξακολουθεί να έχει πολλά χρήσιμα χαρακτηριστικά για την προστασία ευαίσθητων διαπιστευτηρίων και είναι εύκολη στη χρήση ανεξάρτητα από την τεχνογνωσία.

Το LastPass δεν είναι ο βασιλιάς της διαχείρισης κωδικών πρόσβασης

Δεν υπάρχει τίποτα εγγενώς λάθος με τη χρήση του LastPass για την αποθήκευση κωδικών πρόσβασης, καθώς η εφαρμογή είναι γενικά αρκετά ασφαλής. Ωστόσο, αξίζει να σημειώσετε τις εξαιρετικά ασφαλείς εναλλακτικές λύσεις, εάν θέλετε να διασφαλίσετε ότι οι ευαίσθητες πληροφορίες σας αποθηκεύονται όσο το δυνατόν αποτελεσματικότερα.

Prev post Όλα όσα πρέπει να γνωρίζετε για το Overclocking ενός Raspberry Pi 5
Next post 9 κρυπτοαπάτες που πρέπει να γνωρίζετε πριν αγοράσετε Bitcoin