重点
- LastPass 过去曾多次遭遇数据泄露事件,包括 2015 年泄露用户电子邮件地址和主密码的事件。然而,采取额外安全措施的用户可能相对安全。
- 2021 年,LastPass 因其安卓应用包含第三方跟踪器而受到批评,引发了对安全的担忧。LastPass 回应称这些跟踪器用于应用程序遥测,并允许用户禁用它们。
- 2022 年,LastPass 遭受了一次重大安全漏洞,攻击者访问了客户数据和用户密码库信息。此次泄露事件给 LastPass 及其母公司 GoTo 带来了进一步的后果,包括加密备份被盗以及加密密钥被访问的证据。
- 总的来说,虽然 LastPass 通常被认为是安全的,但多次违规事件和安全问题促使一些用户寻找更安全的替代密码管理器。
我们很多人使用密码管理器来保护我们的私人数据安全,LastPass 是其中一个非常受欢迎的选择。但 LastPass 也曾遭受过多次数据泄露,这使得用户的敏感信息面临风险。
那么,LastPass 到底被黑客攻击过多少次? 使用它还安全吗?
1. LastPass 2015 年的漏洞
图片来源:Ervins Strauhmanis/Flickr
第一次 LastPass 黑客攻击发生在 2015 年 6 月,也就是该公司成立七年后。这次严重的泄露事件暴露了 LastPass 用户的电子邮件地址和主密码,以及用于记住主密码的提示或提醒词。当 LastPass 发现可疑的网络活动时,黑客的行为即被察觉,并很快被阻止。然而,一些损害已经造成。
在一份现已失效的客户通知(可通过互联网档案馆获取)中,LastPass 告知用户,那些在密码中使用了哈希和加盐等额外安全层的用户可能不会受到黑客攻击的影响。幸运的是,大多数 LastPass 用户都采用了这些安全方法,这意味着只有一小部分客户有可能受到影响。
LastPass 还表示,它不认为任何用户账户因此次攻击而被访问,但敦促用户验证其电子邮件地址,并每周更新或更改主密码以提高安全性。
在黑客入侵几周后,LastPass 发表了一篇博客文章,表示自黑客攻击以来,其安全性已经得到加强,并进行了一系列重大和细微的改变,以进一步保护客户。这些变化包括引入硬件安全模块 (HSM),它可以保护 LastPass 的加密基础设施。
2. LastPass 2021 年的追踪事件
虽然 LastPass 在 2021 年没有遭到黑客攻击,但当发现其 Android 应用程序包含第三方跟踪器时,它确实遇到了麻烦。2021 年 2 月,一款名为 Exodus Privacy 的安全分析应用程序透露,它在 LastPass Android 应用程序中发现了七个跟踪器,引起了用户的质疑。安全研究员 Mike Kuketz 在一篇Kuketz IT 安全博客文章中评论了这一发现,指出 “将广告和跟踪器整合到密码管理器应用程序中是绝对不可能的。”
Kuketz 还列出了在 LastPass Android 应用程序中发现的七个跟踪器,包括来自 Google Analytics、Segment 和 AppsFlyer 的跟踪器。Kuketz 谴责了这种授予营销分析平台访问权限的做法,并写道 LastPass 的做法“在安全方面非常值得怀疑”。
Kuketz 强调,需要手动检查 LastPass Android 应用程序,以辨别跟踪器是否正在主动监视用户。 然而,Kuketz 指出,对于需要优先考虑安全性的应用程序来说,仅存在跟踪器本身就是一种不好的做法。
针对这一批评,LastPass 通知用户,它确实使用了分析工具。LastPass 强调,这样做是为了深入了解“应用程序遥测、错误和崩溃报告数据,以及高级使用统计信息,最终提高整体性能、可靠性和可用性”。
据称,LastPass 应用程序的分析元素是一项可选功能,用户可以在高级设置中禁用该功能。 但无论如何,LastPass Android 应用程序中存在跟踪器给安全分析师和用户留下了不好的印象。
3. LastPass 2022 年的违规事件
在 2015 年的第一次事件发生后,LastPass 隔了一段时间才再次遭受网络攻击。但到了 2022 年,另一次攻击确实发生了。对 LastPass 来说,今年是特别艰难的一年,8 月份的第一次黑客攻击造成的冲击波将持续到 2023 年。
2022 年 8 月初,LastPass 意识到黑客入侵了 LastPass 开发人员的笔记本电脑,窃取了源代码并访问了该公司基于云的开发平台。黑客成功地伪装成用户,绕过了工程师账户的多因素身份验证安全性。虽然这是一个非常令人担忧的事件,但黑客没有获取任何客户信息。
但几个月后,情况变得更糟。2022 年 12 月,LastPass 宣布,8 月份的黑客攻击使得攻击者能够进入其基础设施中更敏感的区域,该区域在 11 月份首次被利用。这一次,黑客访问了 LastPass 客户数据,包括电子邮件地址、IP 地址、电话号码和姓名。最重要的是,某些类型的用户密码库数据被暴露,包括存储的在线账户的用户名和密码。
不用说,LastPass 现在正处于水深火热之中,而且这种情况到 2023 年也不会结束。
2023 年的后果
尽管 2023 年没有给 LastPass 带来新的黑客攻击,但它确实带来了越来越多关于 2022 年漏洞利用的令人不安的信息。
2023 年 1 月,LastPass 的母公司 GoTo 发布了一份关于 2022 年黑客攻击后果的声明。GoTo 的声明解释说,该公司的其他几项服务,包括 Central、Hamachi、Pro、join.me 和 RemotelyAnywhere,也通过第三方云存储设备成为攻击者的目标。攻击者从该设备窃取了加密备份。更重要的是,GoTo 透露,他们发现的证据表明一些被盗备份的加密密钥也被访问。
2023 年 2 月,LastPass 再次成为新闻头条,因为有消息称,在 2022 年第一次和第二次黑客攻击之间,攻击者采取了更恶意行为。
正如上面 X 帖子中记录的那样,2022 年 11 月的黑客通过软件媒体漏洞入侵了一位高级 LastPass 开发人员的家用电脑。 黑客入侵计算机后,安装了键盘记录器,使他们能够查看开发人员在键盘上输入的内容。
这使得攻击者能够访问开发人员的 LastPass 公司密码库主密码,从而允许攻击者访问密码库本身。令人震惊的是,只有四名 LastPass 高级开发人员有权访问公司密码库,而攻击者仍然成功地瞄准了其中一名开发人员。
黑客还在 2023 年 10 月利用 2022 年窃取的用户凭据盗取了 440 万美元的加密货币。据信,攻击者在 2022 年第二次泄露中访问了加密钱包种子短语和密钥,从而允许他们侵入钱包并将加密货币提取到他们想要的地址。
LastPass 提供了2022 年黑客攻击中被访问数据的完整列表,如果你想查看因 2022 年事件而暴露的所有内容。
LastPass 仍然可以安全使用吗?
虽然 LastPass 自 2008 年以来一直存在,但其大部分数据泄露和安全事件都发生在 2020 年代。考虑到过去存在的多个安全问题,使用 LastPass 感到有点紧张是很自然的,那么结论是什么? LastPass 是否安全?还是应该选择其他东西?
虽然使用 LastPass 比简单的笔记应用程序或类似的存储方法更安全,但今天可能有更好的密码管理器。由于其安全记录存在如此多的缺陷,LastPass 已成为许多人的禁忌,因为不知道下一次违规何时会发生。2022 年给 LastPass 及其用户带来了如此多的问题,因此一些用户跳槽并选择尚未被黑客入侵的密码管理器也就不足为奇了。
Dashlane 和 NordPass 只是从未遭受过安全漏洞的信誉良好的密码管理器的两个例子,因此当然有可能找到未将客户数据或员工门户暴露给黑客的密码管理器。
如果您当前正在使用 LastPass 但想转移到其他地方,请查看我们关于删除 LastPass 帐户的指南。如果您需要帮助选择替代方案,我们还提供了关于最安全密码管理器的便捷指南。
然而,LastPass 的安全事件并不意味着它就是一个不安全的密码管理器。 该应用程序仍然具有许多有用的功能来保护敏感凭据,并且无论技术水平如何,都易于使用。
LastPass 不是密码管理之王
使用 LastPass 存储密码本质上没有问题,因为该应用程序通常非常安全。然而,如果您想确保尽可能有效地存储您的敏感信息,值得考虑更安全的替代方案。