LastPass

De câte ori a fost piratat LastPass și oare mai este sigur de utilizat?

Mulți dintre noi folosesc administratori de parole pentru a-și păstra datele private în siguranță, LastPass fiind una dintre cele mai populare opțiuni existente.

Dar LastPass a suferit o parte echitabilă de încălcări ale datelor, punând în pericol informațiile sensibile le clienților.

Așadar, de câte ori a fost piratat LastPass și oare mai este sigur de utilizat?

Breșa din 2015

Primul atac împotriva LastPass a avut loc în iunie 2015, la șapte ani de la înfințarea companiei. Această breșă a expus e-mail-urile și parolele principale ale utilizatorilor, precum și cuvintele cheie sau de reamintire folosite pentru a reține parolele principale.

Atacul informatic a fost observat atunci când LastPass a sesizat o activitate suspectă în rețea, care a fost în curând blocată. Cu toate acestea, unele pagube fuseseră deja făcute.

Într-o notă către clienți, acum expirată (disponibilă doar prin intermediul celor de la Internet Archive), LastPass a informat utilizatorii că cei care au folosit straturi de securitate suplimentare, cum ar fi hashing și salting pentru parolele lor, au fost probabil în siguranță.

Din fericire, majoritatea utilizatorilor folosesc aceste metode de securitate, ceea ce înseamnă că doar o mică parte dintre clienți au avut șansa de a fi afectați.

LastPass a declarat, de asemenea, că nu consideră că vreun cont de utilizator a fost accesat în urma atacului, dar i-a îndemnat pe utilizatorii să își verifice adresele de e-mail și să schimbe parolele principale folosite în mod repetat sau pe parcursul săptămânii pentru a spori securitatea.

La câteva săptămâni după atac, LastPass a publicat o postare pe blog în care a declarat că securitatea sa s-a îmbunătățit de la atacul informatic, fiind făcute o serie de schimbări mici și mari pentru a proteja în continuare clienții.

Printre aceste modificări se numără introducerea modulelor de securitate hardware (Hardware Security Modules (HSM)), care protejează infrastructura criptografică a LastPass.

Incidentul de monitorizare din 2021

Deși LastPass nu a fost piratat în 2021, a avut probleme atunci când s-a descoperit că aplicația sa pentru Android conținea sisteme de monitorizare de la terți.

În februarie 2021, o aplicație de analiză a securității numită Exodus Privacy a dezvăluit că a găsit șapte sisteme de monitorizare în aplicația LastPass pentru Android, stârnind suspiciuni în rândul utilizatorilor.

Mike Kuketz, cercetător în domeniul securității, a comentat descoperirea într-o postare pe blogul Kuketz IT Security, afirmând că „este complet exclus să integrezi [reclame și sisteme de monitorizare] în aplicațiile de gestionare a parolelor”.

Kuketz a enumerat, de asemenea, cele șapte sisteme de monitorizare găsite în aplicația LastPass pentru Android, care includ sisteme de monitorizare de la Google Analytics, Segment și AppsFlyer.

Acordarea accesului la platformele de analiză de marketing în acest mod a fost condamnată de Kuketz, care a scris că abordarea LastPass este „extrem de discutabilă din punct de vedere al securității”.

Kuketz a subliniat că aplicația LastPass pentru Android trebuie verificată manual pentru a discerne dacă sistemele de monitorizare urmăreau în mod activ utilizatorii. Cu toate acestea, Kuketz a remarcat că doar prezența acestor sisteme de monitorizare este o practică proastă pentru o aplicație care trebuie să acorde prioritate securității.

Ca răspsuns la aceste critici, LastPass a informat utilizatorii că utilizează instrumente de analiză. LastPass a subliniat că acest lucru a fost făcut pentru a obține informații despre „telemetria aplicației, datele de raportare a defectelor și a accidentelor, precum și informații statistice de nivel înalt privind utilizarea pentru îmbunătățirea în cele din urmă performanța generală, fiabilitatea și ușurința de utilizare”.

De asemenea, s-a afirmat că elementul de analiză al aplicatiei LastPass este o funcție opțională pe care utilizatorii o pot dezactiva din setările avansate. Dar, indiferent de acest lucru, prezența sistemelor de monitorizare în aplicația LastPass pentru Android a lăsat un gust amar în gura analiștilor de securitate și a utilizatorilor.

Atac grav în 2022

A durat ceva timp până când LastPass s-a confruntat cu un alt atac cibernetic după incidentul din 2015. Dar în 2022, un alt atac a avut loc. Accesta a fost un an deosebit de greu pentru LastPass, cu un atac în luna august care a provocat unde de șoc care aveau să continue în 2023.

La începutul lunii august 2022, LastPass a luat la cunoștință de o breșa prin care un atacator a compromis laptopul unui dezvoltator LastPass pentru a fura codul sursă și a accesa platforma de dezvoltare a companiei bazată pe cloud.

Atacatorul a ocolit securitatea de autentificare multifactorială de pe contul inginerului, autentificându-se cu succes ca utilizator. Deși acesta a fost un incident foarte îngrijorător, atacatorul nu a recuperat nicio informație despre clienți.

Dar câteva luni mai târziu, lucrurile s-au înrăutățit. În decembrie 2022, LastPass a anunțat că piratul informatic din august le-a oferit atacatorilor o cale de acces în zone mai sensibile ale infrastructurii sale, exploatate pentru prima dată în noiembrie.

De data aceasta, atacatorii au accesat datele clienților LastPass, inclusiv adrese de e-mail și IP, numere de telefon și nume. Pe lângă acestea, au fost expuse anumite tipuri de date din seiful utilizatorilor, inclusiv numele de utilizator și parolele stocate pentru conturile online.

Este inutil să mai spun că LastPass era acum în apă foarte fierbinte, iar lucrurile nu se vor opri în 2023.

Efectele secundare din 2023

Deși 2023 nu a adus noi atacuri pentru LastPass, a adus tot mai multe informații tulburătoare despre exploatările din 2022.

În ianuarie 2023, compania mamă a LastPass, GoTo, a publicat o declarație cu privire la consecințele priateriei informatice din 2022. Declarația GoTo a explicat că mai multe dintre celelalte servicii ale companiei, inclusiv Central, Hamachi, Pro, join.me și RemotelyAnywhere, au fost vizate de atacatori prin intermediul unui dispozitiv de stocare în cloud al unei terțe părți.

De pe acest dispozitiv, atacatorii au furat copiile de rezervă criptate. Mai multe, GoTo a dezvăluit că a găsit dovezi care sugerează că a fost accesată și o cheie de criptare pentru unele dintre copiile de rezervă furate.

În februarie 2023, LastPass s-a aflat din nou pe prima pagină a ziarelor când s-a dezvăluit că, între primul și al doilea atac din 2022, atacatorii au întreprins mai multe acțiuni rău intenționate.

După cum este documentat în postarea de pe X de mai sus, atacatorii din noiembrie 2022 au compromis calculatorul de acasă al unui dezvoltator senior al LastPass prin intermediul unei vulnerabilități a suportului pentru programe. După ce au spart calculatorul, pirații au instalat un keylogger, permițându-le să vadă ce tasta dezvoltatorul pe tastatură.

Acest lucru le-a permis atacatorilor să acceseze parola principala a seifului corporativ LastPass al dezvoltatorului, permițându-le atacatorilor să acceseze seiful în sine. Ceea ce este șocant aici este că doar patru dezvoltatori seniori ai LastPass au avut acces la seiful corporativ, iar atacatorii au reușit totuși să țintească cu succes unul dintre aceștia.

Pirații informatici au folosit, de asemenea, credențialele de utilizator furate în 2022 pentru a fura 4,4 milioane de dolari în criptomonede în octombrie 2023. Se crede că atacatorii au accesat frazele de început și cheile portofelelor criptografice în cea de-a doua încălcare din 2022, ceea ce le-a permis să spargă portofelele și să retragă cripto la adresa dorită.

LastPass are o listă completă a detelor accesate în cadrul atacurilor informatice din 2022, dacă doriți să vedeți tot ce a fost expus datorită incidentelor din 2022.

Mai este LastPass sigur de utilizat?

Deși LastPass este activ din 2008, cele mai multe dintre breșele de date și incidentele de securitate au avut loc în anii 2020. Având în vedere multiplele sale probleme de securitate din trecut, este normal să te simți puțin îngrijorat în legătură cu utilizarea LastPass.

Este LastPass sigur de utilizat sau ar trebui să optați pentru altceva?

Deși este mai sigur să folosiți LastPass decât o simplă aplicație de notițe, este posibil să existe în prezent administratori de parole mai buni. Cu atât de multe probleme de securitate, LastPass a devenit o opțiune de nerefuzat pentru mulți, deoarece nu se știe când va avea loc o nouă breșă.

Având în vedere că 2022 a cauzat atât de multe probleme pentru LastPass și pentru utilizatorii săi, nu este suprinzător faptul că unii utilizatori au părăsit serviciul, optând pentru managerii de parole care nu au fost încă sparte.

Cu toate acestea, incidentele de securitate ale LastPass nu fac din el un manager de parole nesigur. Aplicația are în continuare multe caracteristici utile pentru protejarea acreditărilor sensibile și este ușor de utilizat indiferent de cunoștințele tehnice.

Nu este nimic în neregulă cu utilizarea LastPass pentru a stoca parolele, deoarece aplicația este, în general, destul de sigură.

Cu toate acestea, merită să luați în considerare alternativele mult mai sigure care există dacă doriți să vă asigurați că informatiile dvs. sensibile sunt stocate cât mai eficient posibil.

ThinkRoot99

Numele meu este Cristian Moldovan și sunt utilizator de Linux de peste 10 ani.Am făcut parte din mai multe echipe open source din România: Fundația Ceata, Linux Mint România, Rogentos Linux Group. Între 2014 și 2018 am fost propietarul și editorul site-ului de știri despre linux, gnulinux.ro și actual proprietar al rootlinux.ro

View all posts by ThinkRoot99 →

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *