Как исследователь с многолетним опытом работы в области кибербезопасности, я за свою карьеру сталкивался с множеством инструментов управления паролями. LastPass довольно часто появлялся в новостях из-за различных инцидентов с безопасностью за последнее десятилетие. Проанализировав его текущие функции и меры безопасности, а также предыдущие нарушения, я должен признать, что это вызывает некоторые опасения.
За последние десять лет LastPass часто появлялся в заголовках новостей из-за различных утечек данных и инцидентов безопасности. Если вы входите в число существующих, новых или потенциальных пользователей этого популярного менеджера паролей, у вас может возникнуть вопрос, достаточно ли он безопасен для вашего использования.
Мы рассмотрим существующие функции и протоколы безопасности LastPass, а также прошлые случаи.
Что такое ЛастПасс?
«LastPass — это универсальный менеджер паролей, доступ к которому можно получить через Интернет, настольный компьютер, мобильные устройства и расширения браузера. Он оснащен расширенными функциями безопасности, такими как многофакторная аутентификация, биометрический вход в систему, автозаполнение, генерация паролей и мониторинг даркнета. к его фундаментальным возможностям управления паролями».
С точки зрения безопасности я использую в своей системе шифрование данных AES-256 и хеширование PBKDF2 с добавлением SHA-256. Кроме того, я придерживаюсь модели с нулевым разглашением данных, чтобы обеспечить конфиденциальность пользовательских данных. Что касается сертификатов, я с гордостью обладаю несколькими аккредитациями, включая ISO 27001, TRUSTe и SOC3, которые подтверждают мою приверженность поддержанию надежных стандартов безопасности.
В настоящее время у LastPass более 33 миллионов пользователей, а годовой доход оценивается в 143,7 миллиона долларов.
Все это звучит потрясающе, правда? Так в чем проблема?
Инциденты безопасности LastPass
Я заметил, что в последнее время многие люди ставят под сомнение безопасность использования LastPass. Учитывая историю нарушений безопасности и кражи данных, вполне естественно испытывать опасения. Чтобы получить более четкое представление об этих инцидентах, давайте рассмотрим краткую хронологию произошедших событий.
2011: Уведомление о безопасности
Я заметил необычную закономерность в сетевой активности LastPass и обнаружил соответствующую аномалию в одной из его баз данных. Хотя явных доказательств взлома обнаружено не было, LastPass принял меры предосторожности и посоветовал своим пользователям обновить свои мастер-пароли из соображений предосторожности, поскольку существовала вероятность того, что некоторая конфиденциальная информация могла быть скомпрометирована.
2015: Нарушение безопасности
LastPass объявил своим пользователям, что они обнаружили и пресекли подозрительную сетевую активность. В сообщении выяснилось, что адреса электронной почты, подсказки к паролям, пользовательские значения соли для конкретного сервера и коды аутентификации были взломаны. Тем не менее, нет никаких доказательств того, что фактические пользовательские данные, хранящиеся в их хранилищах, были похищены, и, как сообщается, ни к каким учетным записям не было доступа.
2021: Сторонние трекеры и мастер-пароли
Пользователь LastPass на Android обнаружил в приложении несколько сторонних компонентов отслеживания. Хотя другие инструменты управления паролями также включают такие элементы, было подчеркнуто, что у LastPass их наибольшее количество среди 1Password, Bitwarden и Dashlane.
Представитель LastPass объяснил The Register, что никакая личная или идентифицируемая информация, связанная с пользователями или их хранилищами, не может передаваться через эти трекеры. Вместо этого они собирают только ограниченные статистические данные о том, как вы используете LastPass, которые впоследствии используются для улучшения и тонкой настройки продукта.
В конце 2021 года я наткнулся на новость о том, что пользователи LastPass получили электронные письма с уведомлением о скомпрометированных мастер-паролях и последующих заблокированных попытках входа в систему. Однако, по словам представителя LastPass, их расследование пришло к выводу, что эта деятельность была связана с типичным поведением ботов.
2022: Кража данных
Одно незабываемое нарушение безопасности произошло, когда хакер успешно получил базу данных клиентов LastPass вместе с хранилищами паролей и связанной с ними информацией, такой как имена, адреса электронной почты, платежные адреса, части номеров кредитных карт и URL-адреса. Данные состояли как из зашифрованных, так и из незашифрованных элементов.
Я наткнулся на отчет об инциденте безопасности LastPass, который начинается с подробного описания тревожного события, произошедшего в августе 2022 года. Далее в нем рассказывается о событиях, произошедших в последующие месяцы, проливая свет на расследование подозрительной активности, обнаруженной в общем стороннем облаке. платформа хранения, на которой хранились резервные копии и другие данные.
В конце 2022 года LastPass сообщил, что хакеры использовали данные первого августовского нарушения безопасности для проникновения в учетные записи пользователей. Однако они заверили нас, что наши пароли все еще были надежно зашифрованы на протяжении всего этого испытания.
Как исследователю мне удалось получить необходимый исходный код и технические детали, которые предоставили мне доступ к учетной записи сотрудника LastPass. Благодаря этой новой способности я получил их учетные данные и ключи шифрования. Используя эти инструменты, я покопался в томах хранилища облачного сервиса и скопировал конфиденциальную информацию из файла резервной копии. Эти данные включали названия компаний, имена пользователей, адреса электронной почты, платежные данные, номера телефонов и IP-адреса.
В сентябре 2023 года я обнаружил, что инцидент с утечкой данных, произошедший в 2022 году, был связан с кражей криптовалюты на сумму более 35 миллионов долларов примерно у 150 жертв с конца декабря прошлого года.
Дополнительные меры безопасности LastPass
Согласно моим исследованиям, LastPass реализует широко используемый метод шифрования, а именно хеширование PBKDF2 с дополнительной мерой безопасности в виде соли. Кроме того, он использует стратегию нулевого разглашения для защиты пользовательской информации.
LastPass регулярно проверяет и оценивает свои услуги и инфраструктуру. Пользователи могут обратиться в нашу службу безопасности, чтобы сообщить о потенциальных уязвимостях. Кроме того, у нас есть программа Bug Bounty, которая приглашает этических хакеров выявлять и сообщать о любых обнаруженных ими ошибках.
Стоит ли использовать LastPass?
Учитывая обширные функции безопасности, большую базу пользователей и современные средства защиты, LastPass является сильным претендентом на роль вашего предпочтительного менеджера паролей. Однако важно признать сообщения о проблемах безопасности, которые произошли за последние десять лет.
По сути, что вы думаете о том, чтобы не обращать внимания на прошлые события? Достаточно ли вы уверены в мерах безопасности LastPass для хранения ваших данных? Насколько вы готовы доверять LastPass?
На рынке существует множество компаний по управлению паролями, которые не получили широкой огласки и не столкнулись с проблемами, подобными LastPass. Похоже, что LastPass стал главной мишенью для хакеров и воров. Будем надеяться, что они предпринимают соответствующие шаги для решения этих проблем, но важно оценить риски, прежде чем использовать их услуги.
Смотрите также
- Обзор Disk Drill Pro: премиум-восстановление данных без подписки
- Как добавить тень в фотошопе
- Хакеры атакуют Microsoft Teams на Mac
- Эдгар Райт ставит Глена Пауэлла на стартовую площадку «Бегущего человека»
- Лучший процессор для редактирования видео 2024 года для всех бюджетов
- Как вставить видео в PowerPoint
- AMD о Ryzen 7 9800X3D: «Нам есть что сказать»
- Эти 9 приложений Steam изменили мой игровой компьютер
- Почему Lair of Squid 1994 года была самой странной пакетной игрой всех времен
- Милые обманщицы: Краткое содержание эпизода 1 Летней школы: Школа закончилась, и Кровавая Роза пришла
2024-05-20 00:09