Hvor mange gange er LastPass blevet hacket, og er det stadig sikkert at bruge?

Nøgle takeaways

• LastPass har tidligere oplevet adskillige databrud, inklusive et i 2015, der afslørede bruger-e-mails og hovedadgangskoder. De fleste brugere, der brugte ekstra sikkerhedslag, var dog sandsynligvis sikret mod bruddet.
• LastPass mødte kritik i 2021, da det blev opdaget, at deres Android-app indeholdt tredjeparts trackere, hvilket gav anledning til bekymringer om sikkerhed. LastPass svarede ved at oplyse, at trackerne blev brugt til applikationstelemetri og kunne deaktiveres af brugere.
• LastPass oplevede et betydeligt brud i 2022, hvor angribere fik adgang til kundedata og brugerboksoplysninger. Dette brud førte til yderligere konsekvenser for LastPass og dets moderselskab, GoTo, inklusive stjålne krypterede sikkerhedskopier og beviser for en adgang til krypteringsnøgle.
• Overordnet set, mens LastPass generelt betragtes som sikkert, har de mange brud og sikkerhedshændelser fået nogle brugere til at søge alternative adgangskodeadministratorer, der ikke er blevet kompromitteret.
  instagram viewer

Mange af os bruger adgangskodeadministratorer til at holde vores private data sikre, hvor LastPass er en af ​​de mest populære muligheder derude. Men LastPass har lidt sin rimelige andel af databrud, hvilket sætter kundernes følsomme oplysninger i fare.

Så hvor mange gange er LastPass blevet hacket, og er det stadig sikkert at bruge?

1. LastPass 2015 Brud

Det første LastPass-hack fandt sted i juni 2015, syv år efter virksomhedens grundlæggelse. Dette alvorlige brud afslørede e-mails og masteradgangskoder fra LastPass-brugere, såvel som tip- eller påmindelsesord, der blev brugt til at huske masteradgangskoder. Hacket blev bemærket, da LastPass opfangede mistænkelig netværksaktivitet, som hurtigt blev blokeret. Nogle skader var dog allerede sket.

I en nu udløbet note til kunder (tilgængelig via Internet Archive), informerede LastPass brugerne om, at de, der brugte ekstra sikkerhedslag som hash og saltning på deres adgangskoder, sandsynligvis var sikret mod hacket. Heldigvis anvender størstedelen af ​​LastPass-brugere disse sikkerhedsmetoder, hvilket betyder, at kun en lille del af kunderne havde chancen for at blive påvirket.

LastPass erklærede også, at det ikke troede, at nogen brugerkonti blev tilgået på grund af angrebet, men opfordrede brugere til at bekræfte deres e-mail-adresser og forny enhver uge eller gentagne gange brugte hovedadgangskoder for at booste sikkerhed.

Et par uger efter hacket, LastPass udgav et blogindlæg anførte, at dets sikkerhed var blevet forbedret siden hacket, med en række små og store ændringer, der blev foretaget for at beskytte kunderne yderligere. Inkluderet i disse ændringer var introduktionen af ​​Hardware Security Modules (HSM'er), som beskytter LastPass's kryptografiske infrastruktur.

2. LastPass 2021 Sporingshændelse

Selvom LastPass ikke blev hacket i 2021, løb den ind i problemer, da det blev fundet, at dens Android-app indeholdt tredjeparts trackere. I februar 2021 afslørede en sikkerhedsanalyse-app ved navn Exodus Privacy, at den havde fundet syv trackere i LastPass Android-appen, hvilket udløste mistanke blandt brugerne. Sikkerhedsforsker Mike Kuketz kommenterede opdagelsen i en Kuketz IT Security blogindlæg, med angivelse af, at "det er fuldstændig udelukket at integrere [annoncer og trackere] i adgangskodeadministratorapps."

Kuketz listede også de syv trackere, der findes i LastPass Android-appen, som inkluderede trackere fra Google Analytics, Segment og AppsFlyer. At give adgang til marketinganalyseplatforme på denne måde blev fordømt af Kuketz, som skrev, at LastPass' tilgang er "ekstremt tvivlsom med hensyn til sikkerhed."

Kuketz understregede, at LastPass Android-appen skulle kontrolleres manuelt for at se, om trackerne aktivt holdt øje med brugerne. Tilstedeværelsen af ​​trackerne alene blev dog bemærket af Kuketz for at være dårlig praksis for en app, der skal prioritere sikkerhed.

Som svar på denne kritik, LastPass informerede brugere at den bruger analyseværktøjer. LastPass understregede, at dette blev gjort for at få indsigt i "applikationstelemetri, fejl- og nedbrudsrapporteringsdata, samt statistisk information på højt niveau for i sidste ende at forbedre den overordnede ydeevne, pålidelighed og anvendelighed af [den app]."

Det blev også anført, at analyseelementet i LastPass-appen var en valgfri funktion, som brugere kunne deaktivere i deres avancerede indstillinger. Men uanset dette efterlod tilstedeværelsen af ​​trackere i LastPass Android-appen en dårlig smag i munden på sikkerhedsanalytikere og brugere.

3. LastPass 2022-brud

Det tog noget tid for LastPass at løbe ind i endnu et cyberangreb efter den første hændelse i 2015. Men i 2022 kom endnu et angreb. Dette var et særligt hårdt år for LastPass, hvor et indledende hack i august forårsagede chokbølger, der ville fortsætte ind i 2023.

I begyndelsen af ​​august 2022 blev LastPass opmærksom på et brud, hvor en hacker havde kompromitteret en LastPass-udviklers bærbare computer for at stjæle kildekode og få adgang til virksomhedens cloud-baserede udviklingsplatform. Hackeren omgik multifaktorgodkendelsessikkerheden på ingeniørens konto ved at autentificere sig selv som bruger. Selvom dette var en meget bekymrende hændelse, hentede hackeren ingen kundeoplysninger.

Men et par måneder senere blev tingene værre. I december 2022 annoncerede LastPass, at August-hacket havde givet angribere en vej ind i mere følsomme områder af dets infrastruktur, først udnyttet i november. Denne gang, hackere fik adgang til LastPass kundedata, herunder e-mail- og IP-adresser, telefonnumre og navne. Oven i dette blev visse former for brugerboksdata afsløret, herunder gemte brugernavne og adgangskoder til onlinekonti.

Det er overflødigt at sige, at LastPass nu var i meget varmt vand, og tingene ville ikke stoppe i 2023.

Eftervirkningerne i 2023

Selvom 2023 ikke bragte nogen nye hacks til LastPass, bragte det mere og mere foruroligende information om 2022's bedrifter.

I januar 2023 udgav LastPass's moderselskab, GoTo, en erklæring om konsekvenserne af hackene i 2022. GoTos erklæring forklarede, at flere af virksomhedens andre tjenester, herunder Central, Hamachi, Pro, join.me og RemotelyAnywhere, også var målrettet af angribere via en tredjeparts cloud-lagringsenhed. Fra denne enhed stjal angribere krypterede sikkerhedskopier. Hvad mere er, afslørede GoTo, at det havde fundet beviser, der tyder på, at en krypteringsnøgle til nogle af de stjålne sikkerhedskopier også blev tilgået.

I februar 2023 befandt LastPass sig igen i nyhedsoverskrifterne, da det blev afsløret, at mellem det første og det andet 2022-hack var der blevet foretaget mere ondsindede handlinger af angribere.

Som dokumenteret i X-indlægget ovenfor, november 2022-hackerne kompromitteret en senior LastPass-udviklers hjemmecomputer via en softwaremediesårbarhed. Efter at have hacket computeren installerede hackere en keylogger, så de kunne se, hvad udvikleren skrev på deres tastatur.

Dette gav angribere adgang til udviklerens LastPass-hovedadgangskode til virksomhedens hvælving, hvilket gjorde det muligt for angribere at få adgang til selve hvælvingen. Hvad der er chokerende her er, at kun fire LastPass seniorudviklere havde adgang til virksomhedens hvælving, og det lykkedes stadig angribere at målrette en sådan udvikler.

Hackere brugte også de brugeroplysninger, der blev stjålet i 2022, til at stjæle 4,4 millioner dollars i kryptovaluta i oktober 2023. Det menes, at angriberne fik adgang til crypto wallet seed sætninger og nøgler i det andet 2022 brud, hvilket gjorde det muligt for dem at hacke sig ind i tegnebøger og trække krypto til deres ønskede adresse.

LastPass har en komplet liste over data, der er tilgået i 2022-hackene hvis du gerne vil se alt det, der blev afsløret på grund af hændelserne i 2022.

Er LastPass stadig sikkert at bruge?

Selvom LastPass har været i drift siden 2008, har de fleste af dets databrud og sikkerhedshændelser fundet sted i 2020'erne. I betragtning af dets mange tidligere sikkerhedsproblemer, er det naturligt at føle sig lidt nervøs over at bruge LastPass, så hvad er dommen her? Er LastPass sikkert at bruge, eller skal du vælge noget andet?

Selvom det er mere sikkert at bruge LastPass end en simpel note-app eller lignende lagringsmulighed, kan der meget vel være bedre adgangskodeadministratorer derude i dag. Med så mange skader på dets sikkerhedsrekord er LastPass blevet et no-go for mange, da man ikke ved, hvornår et nyt brud vil opstå. Med 2022, der forårsager så mange problemer for LastPass og dets brugere, er det ingen overraskelse, at nogle brugere er hoppet af og har valgt adgangskodeadministratorer, der endnu ikke er blevet hacket.

Dashlane og NordPass er blot to eksempler på meget velrenommerede adgangskodeadministratorer, der aldrig har været udsat for et sikkerhedsbrud, så det er bestemt muligt at finde en password manager, der ikke har fået sine kundedata eller medarbejderportaler eksponeret for hackere.

Hvis du i øjeblikket bruger LastPass, men ønsker at tage et andet sted hen, så tjek vores guide på sletning af din LastPass-konto. Vi har også en praktisk guide til sikreste adgangskodeadministratorer hvis du har brug for hjælp til at vælge en afløser.

LastPass's sikkerhedshændelser gør det dog ikke til en usikker adgangskodemanager. Appen har stadig mange nyttige funktioner til at beskytte følsomme legitimationsoplysninger og er nem at bruge uanset teknologisk viden.

LastPass er ikke kongen af ​​adgangskodehåndtering

Der er ikke noget iboende galt med at bruge LastPass til at gemme adgangskoder, da appen generelt er ret sikker. Det er dog værd at bemærke de supersikre alternativer derude, hvis du vil sikre dig, at dine følsomme oplysninger opbevares så effektivt som muligt.