LastPass är ett välkänt och pålitligt namn inom lösenordssäkerhet, men dess historia av intrång kan få dig att överväga ett alternativ.
Viktiga takeaways
- LastPass har upplevt flera dataintrång tidigare, inklusive ett under 2015 som avslöjade användarnas e-post och huvudlösenord. Men majoriteten av användare som använde extra säkerhetslager var sannolikt säkra från intrånget.
- LastPass fick kritik 2021 när det upptäcktes att deras Android-app innehöll spårare från tredje part, vilket väckte oro för säkerheten. LastPass svarade med att säga att spårarna användes för applikationstelemetri och kunde inaktiveras av användare.
- LastPass upplevde ett betydande intrång 2022, där angripare fick tillgång till kunddata och information om användarvalv. Detta brott ledde till ytterligare konsekvenser för LastPass och dess moderföretag, GoTo, inklusive stulna krypterade säkerhetskopior och bevis på en åtkomst krypteringsnyckel.
- Sammantaget, medan LastPass allmänt anses vara säkert, har de många intrång och säkerhetsincidenter lett till att vissa användare söker alternativa lösenordshanterare som inte har äventyrats.
Många av oss använder lösenordshanterare för att hålla vår privata data säker, med LastPass som ett av de mest populära alternativen där ute. Men LastPass har drabbats av sin beskärda del av dataintrång, vilket utsätter kundernas känsliga information på spel.
Så, hur många gånger har LastPass hackats, och är det fortfarande säkert att använda?
1. LastPass 2015 brott
Det första LastPass-hacket inträffade i juni 2015, sju år efter företagets grundande. Detta allvarliga intrång avslöjade e-postmeddelanden och huvudlösenord för LastPass-användare, såväl som ledtråden eller påminnelseord som används för att komma ihåg huvudlösenord. Hacket märktes när LastPass upptäckte misstänkt nätverksaktivitet, som snart blockerades. Vissa skador hade dock redan skett.
I en nu utgånget meddelande till kunder (tillgängligt via Internet Archive), informerade LastPass användare att de som använde extra säkerhetslager som hash och saltning på sina lösenord troligen var säkra från hacket. Lyckligtvis använder majoriteten av LastPass-användare dessa säkerhetsmetoder, vilket innebär att endast en liten del av kunderna har chansen att drabbas.
LastPass uppgav också att de inte trodde att några användarkonton hade nåtts på grund av attacken men uppmanade användare att verifiera sina e-postadresser och förnya varje vecka eller upprepade gånger använda huvudlösenord för att öka säkerhet.
Några veckor efter hacket, LastPass publicerade ett blogginlägg uppger att dess säkerhet hade förbättrats sedan hacket, med en rad små och stora förändringar som görs för att skydda kunderna ytterligare. Inkluderat i dessa förändringar var introduktionen av hårdvarusäkerhetsmoduler (HSM), som skyddar LastPass kryptografiska infrastruktur.
2. LastPass 2021 spårningsincident
Även om LastPass inte hackades 2021, stötte det på problem när det upptäcktes att dess Android-app innehöll spårare från tredje part. I februari 2021 avslöjade en säkerhetsanalysapp vid namn Exodus Privacy att den hade hittat sju spårare i LastPass Android-appen, vilket väckte misstankar bland användare. Säkerhetsforskaren Mike Kuketz kommenterade upptäckten i en Kuketz IT-säkerhet blogginlägg, som säger att "det är helt uteslutet att integrera [annonser och spårare] i appar för lösenordshanteraren."
Kuketz listade också de sju spårare som finns i LastPass Android-appen, som inkluderade spårare från Google Analytics, Segment och AppsFlyer. Att ge tillgång till marknadsanalysplattformar på detta sätt fördömdes av Kuketz, som skrev att LastPass tillvägagångssätt är "extremt tveksamt när det gäller säkerhet."
Kuketz underströk att LastPass Android-appen behövde kontrolleras manuellt för att se om spårarna aktivt höll koll på användarna. Närvaron av enbart spårare noterades dock av Kuketz som dålig praxis för en app som måste prioritera säkerhet.
Som svar på denna kritik, LastPass informerade användare att den använder analysverktyg. LastPass betonade att detta gjordes för att få insikter i "applikationstelemetri, fel- och kraschrapporteringsdata, samt användningsstatistisk information på hög nivå för att i slutändan förbättra den övergripande prestandan, tillförlitligheten och användbarheten för [den app]."
Det uppgavs också att analyselementet i LastPass-appen var en valfri funktion som användare kunde inaktivera i sina avancerade inställningar. Men oavsett detta lämnade närvaron av spårare i LastPass Android-appen en dålig smak i munnen på säkerhetsanalytiker och användare.
3. LastPass 2022-brott
Det tog lite tid för LastPass att råka ut för ytterligare en cyberattack efter den första incidenten 2015. Men 2022 kom verkligen en annan attack. Detta var ett särskilt tufft år för LastPass, med ett första hack i augusti som orsakade chockvågor som skulle fortsätta in i 2023.
I början av augusti 2022 blev LastPass medveten om ett intrång där en hackare hade äventyrat en LastPass-utvecklares bärbara dator för att stjäla källkod och komma åt företagets molnbaserade utvecklingsplattform. Hackaren kringgick multifaktorautentiseringssäkerheten på ingenjörens konto genom att framgångsrikt autentisera sig som användare. Även om detta var en mycket oroande incident, hämtade hackaren ingen kundinformation.
Men några månader senare blev det värre. I december 2022 meddelade LastPass att hacket i augusti hade gett angripare en väg in i känsligare områden av dess infrastruktur, som först utnyttjades i november. Den här gången, hackare fick tillgång till LastPass kunddata, inklusive e-postadresser och IP-adresser, telefonnummer och namn. Utöver detta avslöjades vissa typer av användarvalvdata, inklusive lagrade användarnamn och lösenord för onlinekonton.
Onödigt att säga, LastPass var nu i mycket varmt vatten, och saker och ting skulle inte sluta 2023.
2023 års efterverkningar
Även om 2023 inte medförde några nya hack för LastPass, gav det mer och mer oroande information om 2022:s bedrifter.
I januari 2023 släppte LastPass moderbolag, GoTo, ett uttalande om konsekvenserna av 2022 års hack. GoTos uttalande förklarade att flera av företagets andra tjänster, inklusive Central, Hamachi, Pro, join.me och RemotelyAnywhere, också måltavlades av angripare via en tredjeparts molnlagringsenhet. Från den här enheten stal angripare krypterade säkerhetskopior. Dessutom avslöjade GoTo att det hade hittat bevis som tyder på att en krypteringsnyckel för några av de stulna säkerhetskopiorna också var tillgänglig.
I februari 2023 befann sig LastPass i nyhetsrubrikerna igen när det avslöjades att, mellan det första och det andra hacket 2022, mer skadliga åtgärder hade vidtagits av angripare.
Som dokumenterats i X-inlägget ovan, hackarna från november 2022 äventyrade en senior LastPass-utvecklares hemdator via en mjukvarumediesårbarhet. Efter att ha hackat datorn installerade hackare en keylogger som gjorde det möjligt för dem att se vad utvecklaren skrev på sitt tangentbord.
Detta gav angripare tillgång till utvecklarens LastPass-huvudlösenord för företagsvalv, vilket gjorde det möjligt för angripare att komma åt själva valvet. Det som är chockerande här är att endast fyra LastPass seniorutvecklare hade tillgång till företagsvalvet, och angripare lyckades fortfarande framgångsrikt rikta in sig på en sådan utvecklare.
Hackare använde också användaruppgifterna som stulits 2022 för att stjäla 4,4 miljoner dollar i kryptovaluta i oktober 2023. Det tros att angriparna fick åtkomst till fraser och nycklar för kryptoplånbok i den andra intrånget 2022, vilket gjorde att de kunde hacka sig in i plånböcker och dra tillbaka krypto till sin önskade adress.
LastPass har en fullständig lista över data som nås i 2022-hacken om du vill se allt som exponerades på grund av incidenterna 2022.
Är LastPass fortfarande säkert att använda?
Även om LastPass har varit i drift sedan 2008, har de flesta av dess dataintrång och säkerhetsincidenter inträffat på 2020-talet. Med tanke på dess många tidigare säkerhetsproblem är det naturligt att känna sig lite nervös över att använda LastPass, så vad är domen här? Är LastPass säkert att använda, eller bör du välja något annat?
Även om det är säkrare att använda LastPass än en enkel anteckningsapp eller liknande lagringsalternativ, kan det mycket väl finnas bättre lösenordshanterare där ute idag. Med så många skador på säkerhetsregistret har LastPass blivit ett no-go för många, eftersom man inte vet när ett nytt brott kommer att inträffa. Med 2022 som orsakar så många problem för LastPass och dess användare, är det ingen överraskning att vissa användare har hoppat av skeppet och valt lösenordshanterare som ännu inte har blivit hackade.
Dashlane och NordPass är bara två exempel på välrenommerade lösenordshanterare som aldrig har drabbats av ett säkerhetsintrång, så det är säkert möjligt att hitta en lösenordshanterare som inte har fått sina kunddata eller medarbetarportaler utsatta för hackare.
Om du för närvarande använder LastPass men vill gå någon annanstans, kolla in vår guide på ta bort ditt LastPass-konto. Vi har även en praktisk guide på säkraste lösenordshanterare om du behöver hjälp med att välja en ersättare.
LastPass säkerhetsincidenter gör det dock inte till en osäker lösenordshanterare. Appen har fortfarande många användbara funktioner för att skydda känsliga referenser och är lätt att använda oavsett teknisk kunskap.
LastPass är inte kungen av lösenordshantering
Det finns inget i sig fel med att använda LastPass för att lagra lösenord, eftersom appen i allmänhet är ganska säker. Det är dock värt att notera de supersäkra alternativen där ute om du vill säkerställa att din känsliga information lagras så effektivt som möjligt.