Безопасен ли LastPass? Вот что мы знаем об истории безопасности

Безопасен ли LastPass? Вот что мы знаем об истории безопасности

Как исследователь с многолетним опытом работы в области кибербезопасности, я за свою карьеру сталкивался с множеством инструментов управления паролями. LastPass довольно часто появлялся в новостях из-за различных инцидентов с безопасностью за последнее десятилетие. Проанализировав его текущие функции и меры безопасности, а также предыдущие нарушения, я должен признать, что это вызывает некоторые опасения.


За последние десять лет LastPass часто появлялся в заголовках новостей из-за различных утечек данных и инцидентов безопасности. Если вы входите в число существующих, новых или потенциальных пользователей этого популярного менеджера паролей, у вас может возникнуть вопрос, достаточно ли он безопасен для вашего использования.

Мы рассмотрим существующие функции и протоколы безопасности LastPass, а также прошлые случаи.

Что такое ЛастПасс?

Безопасен ли LastPass? Вот что мы знаем об истории безопасности

«LastPass — это универсальный менеджер паролей, доступ к которому можно получить через Интернет, настольный компьютер, мобильные устройства и расширения браузера. Он оснащен расширенными функциями безопасности, такими как многофакторная аутентификация, биометрический вход в систему, автозаполнение, генерация паролей и мониторинг даркнета. к его фундаментальным возможностям управления паролями».

С точки зрения безопасности я использую в своей системе шифрование данных AES-256 и хеширование PBKDF2 с добавлением SHA-256. Кроме того, я придерживаюсь модели с нулевым разглашением данных, чтобы обеспечить конфиденциальность пользовательских данных. Что касается сертификатов, я с гордостью обладаю несколькими аккредитациями, включая ISO 27001, TRUSTe и SOC3, которые подтверждают мою приверженность поддержанию надежных стандартов безопасности.

В настоящее время у LastPass более 33 миллионов пользователей, а годовой доход оценивается в 143,7 миллиона долларов.

Все это звучит потрясающе, правда? Так в чем проблема?

Инциденты безопасности LastPass

Безопасен ли LastPass? Вот что мы знаем об истории безопасности

Я заметил, что в последнее время многие люди ставят под сомнение безопасность использования LastPass. Учитывая историю нарушений безопасности и кражи данных, вполне естественно испытывать опасения. Чтобы получить более четкое представление об этих инцидентах, давайте рассмотрим краткую хронологию произошедших событий.

2011: Уведомление о безопасности

Я заметил необычную закономерность в сетевой активности LastPass и обнаружил соответствующую аномалию в одной из его баз данных. Хотя явных доказательств взлома обнаружено не было, LastPass принял меры предосторожности и посоветовал своим пользователям обновить свои мастер-пароли из соображений предосторожности, поскольку существовала вероятность того, что некоторая конфиденциальная информация могла быть скомпрометирована.

2015: Нарушение безопасности

LastPass объявил своим пользователям, что они обнаружили и пресекли подозрительную сетевую активность. В сообщении выяснилось, что адреса электронной почты, подсказки к паролям, пользовательские значения соли для конкретного сервера и коды аутентификации были взломаны. Тем не менее, нет никаких доказательств того, что фактические пользовательские данные, хранящиеся в их хранилищах, были похищены, и, как сообщается, ни к каким учетным записям не было доступа.

2021: Сторонние трекеры и мастер-пароли

Пользователь LastPass на Android обнаружил в приложении несколько сторонних компонентов отслеживания. Хотя другие инструменты управления паролями также включают такие элементы, было подчеркнуто, что у LastPass их наибольшее количество среди 1Password, Bitwarden и Dashlane.

Представитель LastPass объяснил The Register, что никакая личная или идентифицируемая информация, связанная с пользователями или их хранилищами, не может передаваться через эти трекеры. Вместо этого они собирают только ограниченные статистические данные о том, как вы используете LastPass, которые впоследствии используются для улучшения и тонкой настройки продукта.

В конце 2021 года я наткнулся на новость о том, что пользователи LastPass получили электронные письма с уведомлением о скомпрометированных мастер-паролях и последующих заблокированных попытках входа в систему. Однако, по словам представителя LastPass, их расследование пришло к выводу, что эта деятельность была связана с типичным поведением ботов.

2022: Кража данных

Одно незабываемое нарушение безопасности произошло, когда хакер успешно получил базу данных клиентов LastPass вместе с хранилищами паролей и связанной с ними информацией, такой как имена, адреса электронной почты, платежные адреса, части номеров кредитных карт и URL-адреса. Данные состояли как из зашифрованных, так и из незашифрованных элементов.

Я наткнулся на отчет об инциденте безопасности LastPass, который начинается с подробного описания тревожного события, произошедшего в августе 2022 года. Далее в нем рассказывается о событиях, произошедших в последующие месяцы, проливая свет на расследование подозрительной активности, обнаруженной в общем стороннем облаке. платформа хранения, на которой хранились резервные копии и другие данные.

В конце 2022 года LastPass сообщил, что хакеры использовали данные первого августовского нарушения безопасности для проникновения в учетные записи пользователей. Однако они заверили нас, что наши пароли все еще были надежно зашифрованы на протяжении всего этого испытания.

Как исследователю мне удалось получить необходимый исходный код и технические детали, которые предоставили мне доступ к учетной записи сотрудника LastPass. Благодаря этой новой способности я получил их учетные данные и ключи шифрования. Используя эти инструменты, я покопался в томах хранилища облачного сервиса и скопировал конфиденциальную информацию из файла резервной копии. Эти данные включали названия компаний, имена пользователей, адреса электронной почты, платежные данные, номера телефонов и IP-адреса.

В сентябре 2023 года я обнаружил, что инцидент с утечкой данных, произошедший в 2022 году, был связан с кражей криптовалюты на сумму более 35 миллионов долларов примерно у 150 жертв с конца декабря прошлого года.

Дополнительные меры безопасности LastPass

Согласно моим исследованиям, LastPass реализует широко используемый метод шифрования, а именно хеширование PBKDF2 с дополнительной мерой безопасности в виде соли. Кроме того, он использует стратегию нулевого разглашения для защиты пользовательской информации.

LastPass регулярно проверяет и оценивает свои услуги и инфраструктуру. Пользователи могут обратиться в нашу службу безопасности, чтобы сообщить о потенциальных уязвимостях. Кроме того, у нас есть программа Bug Bounty, которая приглашает этических хакеров выявлять и сообщать о любых обнаруженных ими ошибках.

Стоит ли использовать LastPass?

Безопасен ли LastPass? Вот что мы знаем об истории безопасности

Учитывая обширные функции безопасности, большую базу пользователей и современные средства защиты, LastPass является сильным претендентом на роль вашего предпочтительного менеджера паролей. Однако важно признать сообщения о проблемах безопасности, которые произошли за последние десять лет.

По сути, что вы думаете о том, чтобы не обращать внимания на прошлые события? Достаточно ли вы уверены в мерах безопасности LastPass для хранения ваших данных? Насколько вы готовы доверять LastPass?

На рынке существует множество компаний по управлению паролями, которые не получили широкой огласки и не столкнулись с проблемами, подобными LastPass. Похоже, что LastPass стал главной мишенью для хакеров и воров. Будем надеяться, что они предпринимают соответствующие шаги для решения этих проблем, но важно оценить риски, прежде чем использовать их услуги.

Смотрите также

2024-05-20 00:09