Viktiga slutsatser
- LastPass har tidigare varit utsatt för ett antal dataintrång, inklusive en incident år 2015 där användares e-postadresser och huvudlösenord läckte ut. Trots detta var de flesta användare som hade aktiverat extra säkerhetsåtgärder sannolikt skyddade från intrånget.
- År 2021 kritiserades LastPass för att deras Android-app innehöll spårningsprogram från tredje part, vilket väckte oro över säkerheten. LastPass svarade med att påpeka att dessa spårare användes för applikationstelemetri och kunde stängas av av användaren.
- En allvarlig incident inträffade 2022 då angripare lyckades få tillgång till kunddata och information om användarvalv. Denna incident fick omfattande konsekvenser för LastPass och deras moderbolag, GoTo, inklusive stulna krypterade säkerhetskopior och bevis för en stulen krypteringsnyckel.
- Trots att LastPass i allmänhet betraktas som en säker lösning har dessa många intrång och säkerhetsincidenter lett till att vissa användare har sökt sig till alternativa lösenordshanterare som inte har komprometterats.
Många av oss använder lösenordshanterare för att skydda våra privata uppgifter, där LastPass är ett populärt alternativ. Men LastPass har drabbats av ett antal dataintrång vilket har medfört att känslig kundinformation har varit i fara.
Så, hur många gånger har LastPass blivit hackat och är det fortfarande säkert att använda tjänsten?
1. LastPass-intrånget år 2015
Bildkälla: Ervins Strauhmanis/Flickr
Det första dataintrånget i LastPass skedde i juni 2015, sju år efter företagets grundande. Denna allvarliga incident resulterade i att e-postadresser, huvudlösenord samt ledtrådar eller påminnelser för att komma ihåg huvudlösenord, läckte ut. Intrånget upptäcktes när LastPass identifierade misstänkt nätverksaktivitet som snabbt blockerades. Vissa skador hade dock redan skett.
I ett meddelande som numera finns i Internet Archive informerade LastPass användarna om att de som hade aktiverat extra säkerhetsåtgärder, som hash och saltning av sina lösenord, troligtvis var skyddade från intrånget. Lyckligtvis använder majoriteten av LastPass användare dessa säkerhetsåtgärder, vilket innebär att endast en liten del av kunderna riskerade att drabbas.
LastPass menade även att de inte trodde att några användarkonton hade komprometterats till följd av attacken, men uppmanade användarna att bekräfta sina e-postadresser samt att byta sina huvudlösenord regelbundet för ökad säkerhet.
Några veckor efter intrånget publicerade LastPass ett blogginlägg där de uppgav att säkerheten hade förbättrats sedan intrånget med en rad förändringar, både små och stora, för att skydda användarna ytterligare. I dessa förändringar ingick introduktionen av hårdvarusäkerhetsmoduler (HSM) som skyddar LastPass kryptografiska infrastruktur.
2. LastPass spårningsincident år 2021
Även om LastPass inte hackades under 2021 uppstod det problem när det upptäcktes att deras Android-app innehöll spårningsprogram från tredje part. I februari 2021 avslöjade en säkerhetsanalysapp vid namn Exodus Privacy att sju spårare hade hittats i LastPass Android-app, vilket skapade misstankar bland användarna. Säkerhetsforskaren Mike Kuketz kommenterade upptäckten i ett inlägg på Kuketz IT-säkerhetsblogg och menade att det är ”helt uteslutet att integrera [reklam och spårare] i appar för lösenordshanterare”.
Kuketz listade även de sju spårarna som fanns i LastPass Android-app, vilka inkluderade spårare från Google Analytics, Segment och AppsFlyer. Att på detta sätt ge tillgång till marknadsanalysplattformar fördömdes av Kuketz, som skrev att LastPass förfarande var ”extremt tveksamt ur säkerhetssynpunkt.”
Kuketz underströk att LastPass Android-app behövde kontrolleras manuellt för att se om spårarna aktivt spårade användarna. Enbart förekomsten av spårare ansågs dock av Kuketz som ett dåligt agerande för en app som borde prioritera säkerhet.
Som svar på denna kritik informerade LastPass användarna om att de använder analysverktyg. LastPass betonade att detta görs för att få insikter i ”programtelemetri, fel- och kraschrapporteringsdata, samt statistisk information på hög nivå för användning i syfte att förbättra appens övergripande prestanda, tillförlitlighet och användbarhet.”
Det uppgavs också att analysfunktionen i LastPass app var valbar och att användare kunde stänga av den i de avancerade inställningarna. Trots detta lämnade närvaron av spårare i LastPass Android-app en bitter eftersmak hos både säkerhetsanalytiker och användare.
3. LastPass-intrången år 2022
Det dröjde inte länge innan LastPass blev utsatt för ytterligare en cyberattack efter den första incidenten år 2015. Men år 2022 kom den andra attacken. Det här blev ett särskilt svårt år för LastPass med en första attack i augusti som skapade vågor som fortsatte in i 2023.
I början av augusti 2022 upptäckte LastPass ett intrång där en hackare hade komprometterat en bärbar dator tillhörande en utvecklare hos LastPass för att stjäla källkod och få tillgång till företagets molnbaserade utvecklingsplattform. Hackaren kringgick säkerhetsåtgärden med multifaktorautentisering på ingenjörens konto genom att lyckas autentisera sig som användaren. Även om detta var en mycket oroande incident lyckades hackaren inte stjäla någon kundinformation.
Men bara några månader senare blev det värre. I december 2022 meddelade LastPass att intrånget i augusti hade gett angriparna tillgång till känsligare områden av deras infrastruktur, som utnyttjades först i november. Den här gången lyckades hackare få tillgång till LastPass kunddata, inklusive e-postadresser och IP-adresser, telefonnummer och namn. Dessutom exponerades vissa typer av användarvalvdata, inklusive sparade användarnamn och lösenord till onlinekonton.
LastPass befann sig nu i en mycket besvärlig situation och problemen slutade inte där under 2023.
Efterverkningarna under 2023
Även om 2023 inte medförde några nya intrång för LastPass kom mer och mer oroväckande information om vad som hade hänt under 2022.
I januari 2023 släppte LastPass moderbolag, GoTo, ett uttalande om konsekvenserna av intrånget år 2022. I GoTos uttalande förklarade man att flera av företagets andra tjänster, inklusive Central, Hamachi, Pro, join.me och RemotelyAnywhere också hade blivit måltavlor för angripare via en tredjeparts molnlagringsenhet. Från den här enheten stal angriparna krypterade säkerhetskopior. GoTo avslöjade även att de hade hittat bevis för att en krypteringsnyckel för en del av de stulna säkerhetskopiorna också hade blivit tillgänglig.
I februari 2023 hamnade LastPass återigen i nyheterna när det avslöjades att, mellan det första och det andra intrånget under 2022, hade fler skadliga åtgärder vidtagits av angriparna.
Som dokumenterats i X-inlägget ovan hade hackarna i november 2022 komprometterat en hemdator tillhörande en högre LastPass-utvecklare via en sårbarhet i programvarumedia. Efter att ha hackat datorn installerade hackare en keylogger som gjorde det möjligt för dem att se vad utvecklaren skrev på sitt tangentbord.
Detta gav angriparna tillgång till utvecklarens LastPass-huvudlösenord för företagets valv, vilket gjorde det möjligt för dem att få tillgång till själva valvet. Det som är chockerande är att endast fyra högre LastPass-utvecklare hade tillgång till företagets valv, och angriparna lyckades ändå framgångsrikt rikta in sig på en av dem.
Hackarna använde även de användaruppgifter som stals under 2022 för att stjäla 4,4 miljoner dollar i kryptovaluta i oktober 2023. Det tros att angriparna fick tillgång till fraser och nycklar till kryptoplånböcker under det andra intrånget år 2022, vilket gav dem möjlighet att hacka sig in i plånböckerna och dra tillbaka kryptovalutan till den adress de önskade.
LastPass har en fullständig lista över data som blev tillgänglig under intrången 2022 om du vill se allt som exponerades till följd av incidenterna under 2022.
Är LastPass fortfarande säkert att använda?
Även om LastPass har funnits sedan 2008 har de flesta av deras dataintrång och säkerhetsincidenter inträffat under 2020-talet. Med tanke på de många tidigare säkerhetsproblemen är det naturligt att känna sig lite orolig över att använda LastPass, så hur ser det ut egentligen? Är LastPass säkert att använda eller bör man välja något annat?
Även om det är säkrare att använda LastPass än en enkel anteckningsapp eller liknande lagringsalternativ kan det mycket väl finnas bättre lösenordshanterare på marknaden idag. Med så många incidenter på säkerhetsregistret har LastPass blivit ett avsteg för många, eftersom man inte vet när en ny incident kommer att inträffa. Med tanke på de många problem som 2022 orsakade för LastPass och deras användare är det inte förvånande att vissa användare har valt att byta till lösenordshanterare som ännu inte har blivit hackade.
Dashlane och NordPass är bara två exempel på välrenommerade lösenordshanterare som aldrig har blivit utsatta för ett säkerhetsintrång, så det är helt klart möjligt att hitta en lösenordshanterare där kunddata eller medarbetarportaler inte har exponerats för hackare.
Om du för närvarande använder LastPass men vill byta till något annat, ta en titt på vår guide för att ta bort ditt LastPass-konto. Vi har också en praktisk guide om de säkraste lösenordshanterarna om du behöver hjälp att välja en ersättare.
LastPass säkerhetsincidenter gör dock inte att det är en osäker lösenordshanterare. Appen har fortfarande många användbara funktioner för att skydda känsliga uppgifter och är lätt att använda oavsett teknisk kunskap.
LastPass är inte bäst inom lösenordshantering
Det är i sig inte fel att använda LastPass för att lagra lösenord, eftersom appen i allmänhet är ganska säker. Men det kan vara värt att ta en titt på de säkraste alternativen som finns om du vill vara säker på att din känsliga information lagras så effektivt som möjligt.