- חוקר אבטחה מצא שאפליקציית ניהול הסיסמאות LastPass עוקבת אחר משתמשי אנדרואיד עם שבעה עוקבים שונים, כולל שירות שיכול לעזור לעקוב אחר אנשים ברחבי האינטרנט.
- החוקר הסביר כי הכללת עוקבים באפליקציות המגנות על מידע רגיש כמו ניהול סיסמאות עלולה להיות מסוכנת עבור המשתמש.
- לשירותים אחרים אין עוקבים מובנים, או שהם פחות מ-LastPass.
לפני כמה שבועות אמרתי לך את זה כנראה שהגיע הזמן שתתחיל לשלם עבור LastPass או כל אפליקציית ניהול סיסמאות שאולי אתה שוקל. סוג זה של אפליקציה הוא חובה בסמארטפונים ובמחשבים שולחניים וראוי לחוויית הפרימיום, בין אם זה אומר לשלם על רישיון מוחלט או ללכת על דגם המנוי. אמרתי שאתה צריך לשלם עבור LastPass מכיוון שהחברה הודיעה על תוכניות להרס את הרובד החינמי.
טק. בידור. מַדָע. תיבת הדואר הנכנס שלך.
הירשם לחדשות הטכנולוגיה והבידור המעניינות ביותר שיש.
בהרשמה אני מסכים ל תנאי שימוש וסקרו את הודעת פרטיות.
בקרוב, משתמשי LastPass מי שלא משלם עבור תכונות LastPass יצטרכו לבחור בין חוויות לנייד בלבד או לשולחן העבודה בלבד. כדי לקבל את שניהם, אתה צריך מנוי. עכשיו אני הולך להגיד לך שכנראה הגיע הזמן שתעזוב את LastPass ותחליף אותו במשהו אחר. הסיבה לכך היא שהאפליקציה עוקבת אחר משתמשים באנדרואיד, מה שיכול להיות בעיית אבטחה מסיבית בשירות שנועד לשמור על נתונים רגישים להפליא.
אבטחה גרמנית החוקר מייק קוקץ מצא שאפליקציית Android LastPass מכילה שבעה עוקבים נפרדים, הממליצים למשתמשים להסיר את ההתקנה של האפליקציה ולעבור למנהל סיסמאות אחר.
LastPass משתמש בארבעה עוקבים של Google לניתוח ודיווח על קריסות ושלושה עוקבים שנעשו על ידי AppsFlyer, MixPanel ו-Segment. הקופה מדווח כי הפלח אוסף נתונים עבור צוותי שיווק, ומציע "תצוגה יחידה של הלקוח". החברה יכולה ליצור פרופיל משתמשים ולחבר את הפעילות שלהם בין פלטפורמות.
הבעיה היא שלא ש-LastPass אולי בוחנת להרוויח כסף על ידי מעקב אחר משתמשים בחינם - בהנחה ש-LastPass ירצה לעשות זאת. זו העובדה ש- LastPass צריך לכלול קוד מעקב באפליקציה כדי לעשות זאת. אבל קוקץ אמר שאפילו LastPass לא יכול לדעת איזה סוג של נתונים עוקב אוסף, ושילוב קוד כזה באפליקציה מהווה סיכון פרטיות ואבטחה. לדברי החוקר, אין למצוא עוקבים כמו אלה שבהם LastPass משתמש באפליקציות לניהול סיסמאות.
קוקץ גילה שהגשש אוסף פרטים על המכשיר בשימוש, המפעיל הסלולרי, חשבון Last Pass ומזהה הפרסום של Google. הנתונים מראים גם מתי נוצרות סיסמאות ואיזה סוג הן, למרות ששמות משתמש או סיסמאות בפועל לא נמצאו בתעבורה. אין דרך למשתמש לבטל את הסכמתו למעקב זה, ו-LastPass לא יגיד לך שהוא אוסף נתונים, אמר החוקר. העוקבים יאספו נתונים מכל המשתמשים, ללא קשר אם הם נמצאים בשכבה חינמית או בתשלום.
הקופה מציין שלמתחרים ב-LastPass 1Password ו-KeePass אין כל עוקבים. ל-Bitwarden יש שני עוקבים, ול-Dashlane יש ארבעה.
LastPass אמר לבלוג כי "לא ניתן היה להעביר נתונים רגישים לזיהוי אישי או פעילות כספת דרך העוקבים הללו. העוקבים האלה אוספים נתונים סטטיסטיים מצטברים מוגבלים לגבי אופן השימוש שלך ב-LastPass, המשמש כדי לעזור לנו לשפר ולייעל את המוצר."
החברה טוענת שיש דרך להתנתק. "לכל משתמשי LastPass, ללא קשר לדפדפן או מכשיר, ניתנת האפשרות לבטל את הסכמתם לניתוחים אלה בהגדרות הפרטיות של LastPass, הממוקמות בחשבונם כאן: הגדרות חשבון > הצג הגדרות מתקדמות > פְּרָטִיוּת. אנו בוחנים ללא הרף את התהליכים הקיימים שלנו ופועלים על מנת לשפר אותם כדי לעמוד בדרישות של תקני הגנת מידע הקיימים כיום ולעלות עליהם".
הבעיה היא שהמשתמש אפילו לא נשאל אם הוא או היא מסכימים להעברת הנתונים.
למרות זאת, מעבר למנהל סיסמאות אחר עשוי להיות הצעד הטוב יותר.
