שירות ניהול וסנכרון הסיסמאות LastPass שהודיע לאחרונה על קיצוץ בשירות החינמיים, הסתבך כעת בפרשה חדשה, לפיה החברה מוכרת את המידע על משתמשיה לחברות אחרות, כך נחשף בבלוג האבטחה הגרמני kuketz.
לפי הפרטים שפורסמו, אפליקציית האנדרואיד של LastPass כוללת לא פחות מ-7 כלי מעקב: ארבעה רכיבי מעקב שונים של גוגל (Google), אחד של AppsFlyer הישראלית, אחד של MixPanel ואחד של Segment מבית Twilio. עם הפעלתה, LastPass שולחת מידע ל-6 מתוך 7 כלי המעקב, כאשר ל-MixPanel, הכלי היחיד בין השבעה המוגדר במוצהר כמיועד למטרות פרסום ולא רק ניתוח למטרות חשובות כמו איתור באגים, נשלחים מפרט המכשיר, מתי המשתמש שומר שם משתמש וסיסמא חדשים ב’כספת’ שלו, באיזה סוג חשבון הוא משתמש (חינמי או בתשלום, פרטי או משפחתי) וגם מזהה הפרסום שלו בגוגל. ל-AppsFlyer, שאינו מוגדר במוצהר ככלי פרסום אלא רק “ניתוח”, נשלחים גם פרטים כמו תאריך ושעת התקנת האפליקציה, כמה פעמים המשתמש נכנס אליה ועוד.
לא רק אצל LastPass
התגלית גרמה לאתר הרג’יסטר (The Register) לתהות האם כל אפליקציות ניהול הסיסמאות חולקות מידע וגישה למשתמשיהן עם צדדים שלישיים. הם בדקו כמה אפליקציות פופולאריות אחרות וגילו כי אפליקציית Microsoft Authenticator כוללת חמישה כלי מעקב, מהם שניים של מיקרוסופט (Microsoft) עצמה, שניים של גוגל ואחד של Adjust; אפליקציית Dashlane כוללת ארבעה כלי מעקב, מהם שניים של גוגל, אחד של Adjust ואחד של Braze; אפליקציית Bitwarden, עליה המלצנו כאן לאחרונה, כוללת שני כלי מעקב של גוגל, אך מציעה גם גרסת קוד פתוח ללא מעקב כלל מחנות האפליקציות העצמאית F-Droid; ואפליקציות 1Password ו-KeePassXD אינן כוללות כלי מעקב כלל.
LastPass הגיבה לרג’יסטר ואמרה כי “שום מידע משתמש רגיש הניתן לזיהוי אישי או פעילות ‘כספת’ (מאגר הסיסמאות של המשתמש) לא יכול לעבור דרך כלי המעקב הללו. כלי המעקב אוספים מידע סטטיסטי מוגבל ומרוכז אודות דרכי השימוש של משתמשי LastPass, המשמש לסייע לנו לשפר ולהתאים את המוצר”. היא הוסיפה כי “כל משתמשי LastPass, ללא תלות בדפדפן או במכשיר, מקבלים אפשרות לבטל את המעקבים הללו בהגדרות הפרטיות של LastPass, הממוקמות בחשבונם תחת Account Settings -> Show Advanced Settings -> Privacy (ואז להסיר את ה-V מול Help Improve LastPass)”.
אגב, מבדיקת TGspot עולה כי למשתמשים שהגיעו להגדרה המבטלת את שיתוף המידע עם כלי המעקב מוצג הטקסט הבא: “מידע אנונימי מרוכז אך אינו משותף עם גורמי צד שלישי“.
סדרה של תקלות
LastPass ידעה מספר בעיות אבטחה חמורות בעבר: ב-2011 נאלצו כל מנויי השירות להחליף את סיסמאות המאסטר שלהם לאחר שהחברה גילתה תנועה חשודה בשרתי החברה, ולא הצליחה מאז ועד היום לגלות איזה מידע נחשף ולמי; בקיץ 2015 הודתה החברה כי האקרים פרצו לשרתיה וגנבו כתובות מייל, מזכירי סיסמאות מאסטר ומידע נוסף אך פחות שימושי, והציעה למנוייה לשנות שוב את סיסמאות המאסטר; ב-2016 נחשפו יחד שתי פרצות בתוספי הדפדפנים של החברה, שאחת אפשרה לאתרים זדוניים לגנוב שמות משתמש וסיסמאות על ידי התחזות לאתרים אחרים והשנייה אפשרה השתלטות על החשבון כולו; ב-2017 נחשפו תוך שבוע שתי פרצות נוספות בתוספי הדפדפנים של החברה; וב-2019 התגלתה פרצה נוספת שאפשרה לאתרים לגנוב את שם המשתמש והסיסמא של האתר האחרון שבו ביקר הגולש.
עדיין יותר טוב מלאסטפאס.
לא מבין מה ההיגיון לשים את כל הביצים בסל אחד? כל מה שצריך אקר לעשות זה רק לפרוץ סיסמא אחת ואז הוא יכול לדעת את כל המשתמשים והסיסמאות שלכם רציני לא רואה כאן הגיון
תברר קצת איך עובדים LastPass ודומיו. כשאתה משתמש ב-LastPass אתה לא חושף בפניהם את הסיסמא שלך, הם מקבלים אותה כבר מוצפנת.
חכם עייניו בראשו!
תתחילו/תחזרו לנהל רישומי סיסמאות על דף!
יותר בטוח מזה אין!
מה גם, שתדירות הזנת סיסמאות הינה נמוכה ולא מעיקה כפי שחושבים הרוב…
אני אישית לא מוצא היגיון בלחשוף את הסיסמאות לאיזו חברה ושמירתם באופן מרוכז באותו שרת, זה מפספס את מהות האבטחה…
העיקר המלצתם על Bitwarden במקום KeePass וסיכנתם את הגולשים