LastPass đã bị hack bao nhiêu lần? Liệu nó có còn an toàn để sử dụng không?

Nhiều người trong chúng ta sử dụng trình quản lý mật khẩu để giữ an toàn cho dữ liệu riêng tư của mình, với LastPass là một trong những lựa chọn phổ biến nhất hiện có. Nhưng LastPass đã phải hứng chịu nhiều vụ vi phạm dữ liệu, khiến thông tin nhạy cảm của khách hàng gặp rủi ro.

Vậy LastPass đã bị hack bao nhiêu lần và liệu nó có an toàn khi sử dụng không?

1. Vụ vi phạm năm 2015

Vụ hack LastPass đầu tiên xảy ra vào tháng 6 năm 2015, 7 năm sau khi thành lập công ty. Vụ vi phạm nghiêm trọng này đã làm lộ email và mật khẩu chính của người dùng LastPass, cũng như các từ gợi ý hoặc nhắc nhở được sử dụng để ghi nhớ mật khẩu chính. Vụ hack được chú ý khi LastPass phát hiện hoạt động mạng đáng ngờ và hoạt động này sớm bị chặn. Tuy nhiên, một số thiệt hại đã xảy ra.

Trong một ghi chú hiện đã hết hạn gửi cho khách hàng (có sẵn trên Internet Archive), LastPass đã thông báo cho người dùng rằng những người sử dụng các lớp bảo mật bổ sung sẽ an toàn trước vụ hack. May mắn thay, phần lớn người dùng LastPass sử dụng các phương pháp bảo mật này, nghĩa là chỉ một phần nhỏ khách hàng bị ảnh hưởng.

LastPass cũng tuyên bố rằng họ không tin bất kỳ tài khoản người dùng nào bị truy cập do cuộc tấn công nhưng kêu gọi người dùng xác minh địa chỉ email của họ hoặc sử dụng nhiều lần mật khẩu chính để tăng cường bảo mật.

Vài tuần sau vụ hack, LastPass đã xuất bản một bài đăng trên blog nói rằng tính bảo mật của dịch vụ đã được cải thiện kể từ vụ hack, với một loạt thay đổi lớn nhỏ được thực hiện để bảo vệ khách hàng, bao gồm việc giới thiệu mô-đun bảo mật phần cứng (HSM), bảo vệ cơ sở hạ tầng mật mã của LastPass.

2. Sự cố theo dõi năm 2021

Mặc dù LastPass không bị hack vào năm 2021 nhưng nó đã gặp sự cố khi người ta phát hiện ứng dụng Android của nó có chứa trình theo dõi của bên thứ ba. Vào tháng 2 năm 2021, một ứng dụng phân tích bảo mật có tên Exodus Privacy tiết lộ rằng họ đã tìm thấy 7 trình theo dõi trong ứng dụng LastPass Android, làm dấy lên sự nghi ngờ của người dùng. Nhà nghiên cứu bảo mật Mike Kuketz đã bình luận về phát hiện này trong một bài đăng trên blog Kuketz IT Security, nói rằng "việc tích hợp [quảng cáo và trình theo dõi] vào các ứng dụng quản lý mật khẩu là điều hoàn toàn không thể xảy ra".

Kuketz cũng liệt kê 7 trình theo dõi được tìm thấy trong ứng dụng LastPass Android, bao gồm các trình theo dõi từ Google Analytics, Segment và AppsFlyer. Việc cấp quyền truy cập vào các nền tảng phân tích tiếp thị theo cách này đã bị Kuketz lên án, người đã viết rằng cách tiếp cận của LastPass là "cực kỳ đáng nghi ngờ về mặt bảo mật".

Kuketz nhấn mạnh rằng ứng dụng LastPass Android cần được kiểm tra thủ công để biết liệu trình theo dõi có chủ động theo dõi người dùng hay không. Tuy nhiên, chỉ riêng sự hiện diện của trình theo dõi đã được Kuketz lưu ý là hành vi không tốt đối với một ứng dụng cần ưu tiên bảo mật.

Đáp lại lời chỉ trích này, LastPass đã thông báo cho người dùng rằng họ có sử dụng các công cụ phân tích. LastPass nhấn mạnh rằng điều này được thực hiện để hiểu rõ hơn về "dữ liệu báo cáo lỗi và sự cố từ xa của ứng dụng, cũng như thông tin thống kê sử dụng cấp cao để cuối cùng cải thiện hiệu suất, độ tin cậy và khả năng sử dụng tổng thể của [ứng dụng]".

Người ta cũng tuyên bố rằng phần tử phân tích của ứng dụng LastPass là một tính năng tùy chọn mà người dùng có thể tắt trong cài đặt nâng cao. Nhưng dù sao sự hiện diện của trình theo dõi trong ứng dụng LastPass Android đã để lại ấn tượng xấu đối với các nhà phân tích bảo mật và người dùng.

3. Vụ vi phạm năm 2022

Phải mất một thời gian để LastPass gặp phải một cuộc tấn công mạng khác sau sự cố đầu tiên năm 2015. Vào năm 2022, một cuộc tấn công khác thực sự đã xảy ra. Đây là một năm đặc biệt khó khăn đối với LastPass, với vụ hack đầu tiên vào tháng 8 đã gây ra làn sóng chấn động kéo dài đến năm 2023.

Vào đầu tháng 8 năm 2022, LastPass biết về một lỗ hổng trong đó tin tặc đã xâm phạm máy tính xách tay của nhà phát triển LastPass để đánh cắp mã nguồn và truy cập vào nền tảng phát triển dựa trên đám mây của công ty. Tin tặc đã vượt qua bảo mật xác thực đa yếu tố trên tài khoản của kỹ sư bằng cách xác thực thành công chính họ là người dùng. Mặc dù đây là một sự cố rất đáng lo ngại nhưng hacker không lấy được thông tin khách hàng.

Nhưng vài tháng sau, mọi chuyện trở nên tồi tệ hơn. Vào tháng 12 năm 2022, LastPass thông báo rằng vụ hack tháng 8 đã tạo cơ hội cho kẻ tấn công xâm nhập vào các khu vực nhạy cảm hơn trong cơ sở hạ tầng của dịch vụ, lần đầu tiên bị khai thác vào tháng 11. Lần này, tin tặc đã truy cập dữ liệu khách hàng LastPass, bao gồm địa chỉ email và IP, số điện thoại và tên. Ngoài ra, một số loại dữ liệu vault của người dùng đã bị lộ, bao gồm tên người dùng và mật khẩu được lưu trữ cho các tài khoản trực tuyến.

Không cần phải nói, mọi thứ sẽ không dừng lại vào năm 2023.

Hậu quả năm 2023

Mặc dù năm 2023 không có bất kỳ vụ hack mới nào xảy ra với LastPass, nhưng ngày càng có nhiều thông tin đáng lo ngại về các vụ vi phạm diễn ra vào năm 2022.

Vào tháng 1 năm 2023, công ty mẹ của LastPass, GoTo, đã đưa ra một tuyên bố về hậu quả của vụ hack năm 2022. Tuyên bố của GoTo giải thích rằng một số dịch vụ khác của công ty, bao gồm Central, Hamachi, Pro, join.me và RemotelyAnywhere, cũng là mục tiêu của những kẻ tấn công thông qua thiết bị lưu trữ đám mây của bên thứ ba. Từ thiết bị này, kẻ tấn công đã đánh cắp các bản sao lưu được mã hóa. Hơn nữa, GoTo tiết lộ rằng họ đã tìm thấy bằng chứng cho thấy khóa mã hóa cho một số bản sao lưu bị đánh cắp cũng đã bị truy cập.

Vào tháng 2 năm 2023, LastPass lại xuất hiện trên các tiêu đề tin tức khi tiết lộ rằng, giữa vụ hack đầu tiên và vụ hack thứ hai vào năm 2022, những kẻ tấn công đã thực hiện nhiều hành vi độc hại.

Như được ghi lại trong bài đăng X ở trên, tin tặc vào tháng 11 năm 2022 đã xâm phạm máy tính ở nhà của nhà phát triển LastPass cấp cao thông qua một lỗ hổng phần mềm. Sau khi hack máy tính, tin tặc đã cài đặt keylogger, cho phép chúng xem những gì nhà phát triển đang gõ trên bàn phím.

Điều này cho phép kẻ tấn công truy cập vào mật khẩu chính cho kho mật khẩu LastPass của nhà phát triển, cho phép kẻ tấn công truy cập vào chính kho đó. Điều gây sốc ở đây là chỉ có 4 nhà phát triển cấp cao của LastPass có quyền truy cập vào kho mật khẩu của công ty và những kẻ tấn công vẫn nhắm mục tiêu thành công vào một trong số 4 người đó.

Tin tặc cũng sử dụng thông tin đăng nhập của người dùng bị đánh cắp vào năm 2022 để đánh cắp 4,4 triệu đô la tiền điện tử vào tháng 10 năm 2023. Người ta cho rằng những kẻ tấn công đã truy cập vào các khóa và seed phrase của ví tiền điện tử trong lần vi phạm thứ hai vào năm 2022, cho phép hacker đột nhập vào ví và rút tiền điện tử về địa chỉ chúng mong muốn.

LastPass có danh sách đầy đủ dữ liệu được truy cập trong các vụ hack năm 2022 nếu bạn muốn xem tất cả những gì đã bị lộ do sự cố năm 2022.

LastPass có còn an toàn để sử dụng không?

Mặc dù LastPass đã đi vào hoạt động từ năm 2008 nhưng hầu hết các vụ vi phạm dữ liệu và sự cố bảo mật đều xảy ra vào những năm 2020. Với nhiều vấn đề bảo mật đã diễn ra, việc cảm thấy hơi lo lắng khi sử dụng LastPass là điều tự nhiên? Vậy LastPass có còn an toàn để sử dụng không hay bạn nên chọn công cụ khác?

Mặc dù sử dụng LastPass an toàn hơn so với ứng dụng ghi chú đơn giản hoặc tùy chọn lưu trữ tương tự, nhưng hiện nay có thể có những trình quản lý mật khẩu tốt hơn. Với rất nhiều điểm yếu trong khía cạnh bảo mật của mình, LastPass đã trở thành một lựa chọn bị bỏ qua đối với nhiều người, vì họ lo sợ không biết khi nào một vi phạm khác sẽ xảy ra. Với việc năm 2022 gây ra rất nhiều vấn đề cho LastPass và người dùng của nó, không có gì ngạc nhiên khi một số người dùng đã chuyển sang sử dụng những trình quản lý mật khẩu chưa bị hack.

Dashlane và NordPass chỉ là hai ví dụ về các trình quản lý mật khẩu có uy tín cao chưa bao giờ bị vi phạm bảo mật, vì vậy chắc chắn có thể tìm thấy một trình quản lý mật khẩu không có dữ liệu khách hàng hoặc cổng thông tin nhân viên bị tin tặc tấn công.

Tuy nhiên, các sự cố bảo mật của LastPass không khiến nó trở thành trình quản lý mật khẩu không an toàn. Ứng dụng này vẫn có nhiều tính năng hữu ích để bảo vệ thông tin xác thực nhạy cảm và dễ sử dụng bất kể người dùng có am hiểu công nghệ hay không.