Felietony

Lastpass jest dla mnie skończony. Firma może zwijać się z rynku

Krzysztof Rojek
Lastpass jest dla mnie skończony. Firma może zwijać się z rynku
Reklama

LastPass zrobił najgorszą rzecz, którą mógł zrobić, jeżeli chodzi o bezpieczeństwo. Jeżeli go używacie, warto pomyśleć nad zmianą.

Nie milkną echa afery, która miała miejsce kilka dni temu, a której głównym prowodyrem była firma zajmująca się tworzeniem managera haseł LastPass. Chociaż być może powinienem powiedzieć "kilka miesięcy temu" ponieważ główny incydent miał miejsce w sierpniu tego roku. Wtedy właśnie przez zhakowane konto developera (a przynajmniej tak brzmi oficjalna wersja podana przez firmę) włamano się do LastPass i wykradziono część kodu źródłowego aplikacji. Kluczową informacją, jaka poszła w świat od firmy było jednak to, że dane użytkowników pozostały nietknięte. Przeskakując kilka miesięcy wprzód, z posta na blogu LastPass dowiadujemy się, że nie tylko dane użytkowników zostały "tknięte", ale wręcz - przestępcy wzięli sobie dosłownie wszystko. W ich ręce wpadła cała kopia zapasową pakietu haseł użytkowników, a razem z nią inne informacje, jak nazwiska, adresy e-mail, numery telefonów czy niektóre informacje rozliczeniowe.

Reklama

LastPass powinien tego dnia zakończyć swój biznes

W tym momencie z każdego zakątka świata napływają informacje od specjalistów ds. cyberbezpieczeństwa, którym wręcz brakuje słów na temat tego, co zrobił LastPass. Słusznie mówią oni, że komunikat LastPass pół roku po wycieku to kuriozum, a informacje o tym, że baza hasła użytkowników są bezpieczne jeżeli stosowali oni wystarczająco dobre hasło główne to przygotowanie do zrzucenia z siebie odpowiedzialności. Dodatkowo, punktują oni LastPass za próbę rozdzielenia dwóch incydentów. LastPass twierdzi, że w sierpniu żadne dane nie zostały wykradzione, jednak dane uzyskane wtedy posłużyły do kolejnego ataku - dla ekspertów jest jasne, że to oznacza tylko, że LastPass nie poradził sobie z efektami ataku i trzeba to traktować jako jedno wydarzenie. Dalej dyskusja toczy się w kontekście bardziej technicznych szczegółów, czyli tego jaka część bazy była zaszyfrowana, jaka nie i jakie informacje dodatkowo pozyskali hakerzy (jak np. adresy IP z których łączono się z aplikacją). Szczerze powiedziawszy, gdybym był użytkownikiem LastPass, nawet pokazanie wszem i wobec niekompetencji LastPass byłoby dla mnie małym pocieszeniem.

Sam bowiem korzystam z managera haseł innej firmy i gdyby taki atak miał miejsce, to kluczowe i fundamentalne byłoby dla mnie, żebym wiedział o wszystkim od razu. Jeżeli bowiem lista moich haseł dostała się w ręce przestępców, to wręcz trzeba zakładać, że wcześniej czy później zostaną one odkryte, więc trzeba z miejsca traktować je jako "spalone" i jak najszybciej zmienić na inne. Nie ma innego wyjścia. Informowanie o tym fakcie dużo później i to jeszcze w wymijający sposób, to największy przejaw braku szacunku do własnych konsumentów, jaki tylko może przejawiać firma, która mówi, że zajmuje się "bezpieczeństwem". Ile kont bankowych, kont w mediach społecznościowych i na innych portalach zostało przejętych tylko dlatego, że LastPass nie pokwapił się poinformować, że jedna rzecz, która miała być bezpieczna w ich bazach danych została wykradziona?

Wyobrażacie sobie bank, który po pół roku informuje, że w sumie to przez ostatnie miesiące przestępcy mogli tak po prostu podbierać kasę z waszego konta bez waszej wiedzy? Albo operatora chmury, który po takim czasie mówi, że wszystkie wasze pliki zostały skopiowane na dyski hakerów? Takie przykłady można mnożyć. Takie zdarzenie w każdym przypadku zakończyłoby się całkowitym odwróceniem się klientów od danej firmy, utratą zaufania i w rezultacie - końcem jej rynkowej działalności. I szczerze - nie widzę w tym momencie innego scenariusza dla LastPass. Firma koncertowo pokazała, że nie można jej zaufać i przy okazji, naruszyła też reputacje całej branży.

Nie widzę w tym momencie żadnego argumentu, żeby ufać LastPassowi i jego zabezpieczeniom oraz zapewnieniom, a przecież w tej branży od zaufania zależy bardzo wiele. Jeżeli korzystacie z LastPass - zdecydowanie rekomenduję zmianę. Na rynku jest wiele alternatyw które oferują te same, o ile nie bardziej rozbudowane funkcjonalności.

Oczywiście - po tym, jak podziękujecie LastPass za konieczność zmiany wszystkich swoich haseł.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Reklama