Безопасен ли LastPass? Вот что мы знаем об истории безопасности

20 мая, 2024 Дядя Влад

Сайт LastPass на ноутбуке. — Цифровые тенденции

LastPass довольно часто появлялся в новостях за последнее десятилетие. После некоторых утечек данных и инцидентов безопасности у вас может возникнуть вопрос, безопасно ли теперь использовать известный менеджер паролей — независимо от того, являетесь ли вы предыдущим, текущим или потенциальным пользователем LastPass.

Давайте посмотрим на текущие функции и меры безопасности LastPass, а также на предыдущие инциденты.

Что такое ЛастПасс?

Главная страница LastPass. — Цифровые тенденции

LastPass — это приложение для управления паролями, доступное в Интернете, на настольных компьютерах и мобильных устройствах, а также с расширениями для браузера. Он предлагает многофакторную аутентификацию, биометрический вход в систему, автозаполнение, генератор паролей и мониторинг даркнета, а также базовые функции управления паролями .

Что касается безопасности, LastPass использует шифрование данных AES-256 , хеширование PBKDF2 с добавлением соли SHA-256 и модель с нулевым разглашением. LastPass также имеет несколько сертификатов безопасности, включая ISO 27001, TRUSTe, SOC3 и другие.

В настоящее время у LastPass более 33 миллионов пользователей, а годовой доход оценивается в 143,7 миллиона долларов .

Все это звучит потрясающе, правда? Так в чем проблема?

Инциденты безопасности LastPass

Кибербезопасность разрушила концепцию. — Мадарцграфика / Pixabay

Есть причина, по которой люди спрашивают, безопасно ли использовать LastPass. Нарушения безопасности, а также многолетняя кража информации, безусловно, вызывают беспокойство. Чтобы лучше понять эти инциденты, давайте посмотрим на краткую хронологию того, что произошло.

2011: Уведомление безопасности

LastPass обнаружил нарушение в своем сетевом трафике, а также одно совпадение в одной из своих баз данных. Несмотря на то, что компания LastPass не обнаружила конкретного нарушения, она попросила своих пользователей сменить свои главные пароли, опасаясь, что некоторые из ее данных могли быть взломаны.

2015: Нарушение безопасности

LastPass уведомил свое сообщество о том, что «обнаружил и заблокировал подозрительную активность» в своей сети. В уведомлении говорилось, что адреса электронной почты, напоминания паролей, соли сервера для каждого пользователя и хэши аутентификации были скомпрометированы. Однако он не нашел доказательств того, что данные хранилища пользователей были украдены, и заявил, что доступ к учетным записям пользователей не осуществлялся.

2021: Сторонние трекеры и мастер-пароли

Пользователь LastPass обнаружил в мобильном приложении Android несколько сторонних трекеров. Хотя аналогичные менеджеры паролей также содержат эти типы трекеров, было отмечено, что LastPass имеет больше всего преимуществ между ними, 1Password, Bitwarden и Dashlane.

«Никакие конфиденциальные личные данные пользователей или действия в хранилище не могут быть переданы через эти трекеры. Эти трекеры собирают ограниченные агрегированные статистические данные о том, как вы используете LastPass, которые помогают нам улучшать и оптимизировать продукт», — говорится в заявлении, предоставленном The Register представителем LastPass.

Позже в 2021 году сообщалось, что пользователи LastPass были уведомлены по электронной почте о том, что их главные пароли были скомпрометированы, и попытки входа в систему с этими паролями были заблокированы. Однако представитель LastPass заявил , что компания изучила эти отчеты и «определила, что данная деятельность связана с довольно распространенной деятельностью, связанной с ботами…»

2022: Кража данных

Вероятно, самый запоминающийся инцидент безопасности произошел, когда хакер украл копию базы данных клиентов LastPass, а также хранилища паролей и данные, включая имена, адреса электронной почты и платежные адреса, части номеров кредитных карт и URL-адреса. Речь шла о смеси зашифрованных и незашифрованных данных.

Отчет об инцидентах безопасности LastPass начинается с описанного выше происшествия в августе 2022 года. Затем в течение следующих нескольких месяцев он представил обновления, объясняющие расследование необычной активности в общем стороннем облачном хранилище, используемом для хранения резервных копий и других данных.

Позже в 2022 году LastPass заявил, что данные, полученные в ходе первоначального августовского инцидента, использовались для получения доступа к информации о клиентах, но пароли остались зашифрованными.

Физическое или юридическое лицо смогло получить исходный код и техническую информацию, чтобы впоследствии атаковать сотрудника LastPass. Они получили учетные данные и ключи для доступа и расшифровки томов хранения в этом облачном сервисе. Затем они скопировали информацию из резервной копии, содержащую названия компаний, имена пользователей, адреса электронной почты и платежные адреса, номера телефонов и IP-адреса.

В сентябре 2023 года была обнаружена связь между инцидентом с кражей данных в 2022 году и более чем 35 миллионами долларов в криптовалюте, украденными у более чем 150 жертв с декабря прошлого года.

Дополнительные меры безопасности LastPass

Как упоминалось ранее, LastPass использует отраслевой стандарт шифрования, хеширование PBKDF2 с добавлением соли и метод с нулевым разглашением для защиты ваших данных.

Он также проходит регулярные проверки и тестирование своих услуг и инфраструктуры, а также предоставляет пользователям доступ к своей команде безопасности для сообщения о возможных слабостях. LastPass также использует так называемую программу Bug Bounty, где хакеры в белой шляпе могут сообщать об обнаруженных ими ошибках.

Стоит ли использовать LastPass?

Запертые и разблокированные замки. — Методическая мастерская / Pixabay

Учитывая текущие меры безопасности, хороший набор функций и миллионы пользователей, кажется разумным использовать LastPass в качестве основного менеджера паролей — если вы можете не обращать внимания на инциденты безопасности, охватывающие более десяти лет.

Но это действительно то, к чему все сводится. Можете ли вы не обращать внимания на инциденты? Чувствуете ли вы , что ваши данные в безопасности? Насколько вы готовы доверять LastPass?

Есть много компаний, предлагающих продукты для управления паролями , которые не попадали в заголовки газет и не сталкивались с такими инцидентами, как LastPass. И, конечно, создается впечатление, что у LastPass есть постоянная цель со стороны хакеров и воров. Будем надеяться, что компания принимает необходимые меры для устранения проблем, но прямо сейчас вам придется решить, стоит ли рисковать.