חוקר אבטחה פירט שבעה עוקבים בתוך מנהל הסיסמאות הפופולרי LastPass, שהחברה עצמה או מפרסמים אחרים יכולים להשתמש בהם כדי ליצור מודעות ממוקדות עבור משתמשי האפליקציה.
חוקר האבטחה הגרמני מייק קוקץ ישחשפו שבעה עוקביםבתוך אפליקציית LastPass Android, מנהל סיסמאות שיש לו למעלה מ-10 מיליון התקנות בחנות Google Play בלבד.
העוקבים שהיו מעורבים היו:
- AppsFlyer
- גוגל אנליטיקס
- Google CrashLytics
- Google Firebase Analytics
- מנהל התגים של גוגל
- MixPixel
- מִגזָר
יש לצפות לעוקבים באפליקציות מסוימות - כלומר מדיה חברתית וחנויות קניות מקוונות. החוקרים מציינים שמשהו לגבי הכללת עוקבים באפליקציית כספת סיסמאות נראה ערמומי.
Kuketz מציין שמיד לאחר השקת LastPass באנדרואיד, שש מתוך שבע אפליקציות המעקב מופעלות עוד לפני שהמשתמש מקיים אינטראקציה עם האפליקציה. הוא גם מציין שבשום שלב לא נשאל המשתמש אם הוא מסכים לקבל את הנתונים שלו לספקי צד שלישי או לא.
במהלך הבדיקה שלו, קוקץ חשף כי האפליקציה עוקבת באיזה מכשיר משתמש המשתמש, האם האפליקציה נמצאת בשימוש בחינם או תחת מנוי, ואם המשתמש מעדיף להשתמש במנעול ביומטרי.
גם גרסת האנדרואיד של LastPass ממשיכה לעקוב אחר משתמשים בזמן שהם משתמשים באפליקציה. בעוד שהעוקבים לא יקבלו תוכן רגיש, כמו הסיסמאות עצמן, הם עוקבים אחר כמעט כל השאר.
הנתונים המעקבים כוללים מתי נוצרה סיסמה, איזה סוג חשבון המשתמש יוצר, כגון פרופיל מדיה חברתית לעומת חשבון בנק או כרטיס אשראי, כתובת IP של משתמש, מיקומו הנוכחי של המשתמש ועוד. גם אין דרך להתנגד למעקב זה או לבטל את הסכמתו - משתמש יצטרך להסיר את ההתקנה כדי למנוע מעקב נוסף.
ב אפוסט המשך,קוקץ שיתף אינטראקציה של קורא עם תמיכת LastPass, שהכחיש בתוקף - פעמיים - שלאפליקציה יש בכלל עוקבים.
אמנם לא אושרו שקיימים עוקבים ב-iOSאוֹmacOSגרסאות של LastPass, מבט חטוף בגרסת הבטא של iOSתווית תזונה"מרמז שגם זה לא מחוץ לתחום האפשרויות.
באופן ספציפי, האפליקציית LastPass iOSעוקב אחר מיקום המשתמשים, נתוני השימוש, פרטי התקשרות וחלק מהתוכן של המשתמש, שכולם יכולים להיות אוספים ולמכור למפרסמים שיוכלו אז להשתמש במידע כדי למקד למשתמשים עם מודעות.
המרשם מצייןשגם LastPass הוא לא מנהל הסיסמאות היחיד שיש לו עוקבים. Bitwarden ו-Dashlane מכילים שתיהן עוקבים, שניים וארבעה, בהתאמה. עם זאת, מתחרה LastPass 1Password וקוד פתוח KeePass אינם כוללים מעקבים כלל.
דובר LastPass הודההמרשםשבזמן שהעוקבים קיימים, לא מועברים דרך העוקבים נתוני משתמש או סיסמה ניתנים לזיהוי אישי. הם טענו שהעוקבים אוספים רק נתונים סטטיסטיים מצטברים מוגבלים המשמשים לשיפור המוצר.
המידע מגיע בזמן מצער במיוחד, כמוLastPass הציגה לאחרונה מגבלותבחשבונות בשכבה חופשית, ומגביל אותם למחשבים או למכשירים ניידים. בנוסף, התמיכה בדוא"ל מסתיימת עבור חברי שירות חינם לאחר 17 במרץ. משתמשים רבים איימו לעזוב את השירות לאחר השינוי.
