LastPass ประกาศเสร็จกระบวนการแยกตัวเป็นบริษัทอิสระ จากบริษัทแม่ GoTo (LogMeIn เดิม) โดยใช้เวลานานถึง 3 ปีนับจากประกาศแผนครั้งแรกในปี 2021

ผู้ถือหุ้นของ LastPass ยังเป็นกลุ่มผู้ถือหุ้นเดิมของ LogMeIn ที่ถือหุ้นในนามบริษัท LMI Parent, L.P. อีกที แต่การบริหารงานของ LastPass เป็นอิสระจาก GoTo/LogMeIn ทำให้คล่องตัวมากขึ้น แยกบริหารเงินเอง และโฟกัสที่ธุรกิจด้านความปลอดภัยไซเบอร์โดยตรง ต่างจาก GoTo/LogMeIn ที่เป็นธุรกิจด้านระบบรีโมท ควบคุมคอมพิวเตอร์จากระยะไกล

ที่มา - LastPass

LastPass รายงานเหตุการณ์ที่เกิดขึ้นกับบริษัท จากการที่คนร้ายใช้โปรแกรมปลอมเสียง Deepfake โดยพนักงานคนหนึ่งของบริษัทได้รับการติดต่อทั้งในรูปแบบโทรศัพท์เสียง ข้อความ และวอยซ์เมล ผ่าน WhatsApp โดยทั้งหมดปลอมตัวเป็นซีอีโอของ LastPass

อย่างไรก็ตามพนักงานคนดังกล่าวก็ไม่ได้เชื่อว่าเป็นซีอีโอตัวจริง เนื่องจากมีลักษณะแปลกหลายอย่าง เช่น ติดต่อนอกเวลางาน ไม่ได้ใช้ช่องทางติดต่อทางการของบริษัท พยายามแจ้งสถานการณ์ที่มีความเร่งด่วนสูง เพื่อหวังใช้ Social Engineering สุดท้ายพนักงานก็ไม่ได้สนใจข้อความ และรายงานเหตุการณ์ให้กับฝ่ายความปลอดภัยของบริษัทตามขั้นตอน

LastPass โปรแกรมจัดการรหัสผ่าน ประกาศเตือนลูกค้าว่าตอนนี้พบแอปปลอมที่สร้างมาเลียนแบบ LastPass พบ App Store ของแอปเปิล โดยแอปนี้ชื่อว่า LassPass Password Manager ระบุว่า Parvati Patel เป็นผู้พัฒนาแอป ซึ่งทั้งโลโก้และหน้าตาแอปก็ทำให้ผู้ใช้สับสนว่าเป็น LastPass

LastPass บอกว่าตอนนี้กำลังดำเนินงานกับผู้เกี่ยวข้อง เพื่อให้แอปนี้ถูกถอดออกจาก App Store ซึ่งล่าสุดแอปก็ถูกนำออกไปเรียบร้อยแล้ว

Christofer Hoff หัวหน้าฝ่ายความปลอดภัยของ LastPass ให้ข้อมูลเพิ่มเติมว่า ตอนนี้บริษัทได้สอบถามแอปเปิล เพื่อทำความเข้าใจกระบวนการตรวจสอบแอป ว่าทำไมแอปปลอมที่ลอกเลียนแอปอื่นที่มีอยู่แล้ว โดยอาศัยการบิดตัวสะกดเล็กน้อย จึงสามารถผ่านกระบวนการตรวจสอบและนำขึ้น App Store ได้

ZachXBT บัญชีทวิตเตอร์รายงานอาชญากรรมในโลกคริปโตรายงานถึงผู้เสียหายอย่างน้อย 25 รายแจ้งเข้ามาว่าถูกขโมยเงินคริปโตไป โดยพบความเชื่อมโยงว่าทุกรายเป็นผู้ใช้ LastPass และเก็บกุญแจบัญชีคริปโตไว้ใน LastPass เช่นกัน

ความเชื่อมโยงนี้ทำให้คาดว่าคนร้ายอาศัยฐานข้อมูล LastPass ที่รั่วออกมาปีที่แล้ว และสามารถยิงรหัสผ่านจนแกะฐานข้อมูลออกมาได้ โดยที่ผ่านมาอดีตวิศวกรของ LastPass ออกมาระบุว่าฐานข้อมูลไม่ได้เข้ารหัสบางส่วน อาจจะเป็นสัญญาณให้คนร้ายเลือกแกะรหัสฐานข้อมูลเป้าหมายได้ง่ายขึ้น

ผู้ใช้ LastPass จำนวนหนึ่งรายงานว่าไม่สามารถเข้าใช้บัญชีได้หลังจากทาง LastPass บังคับคอนฟิกการล็อกอินขั้นตอนที่สองเสียใหม่ ทำให้ไม่สามารถใช้งานรหัสผ่านใดๆ ได้ และบางคนถูกบังคับคอนฟิกขณะต้องการใช้รหัสผ่านทำงาน

เหตุการณ์ของแต่ละคนดูจะต่างกันไป ผู้ใช้รายหนึ่งระบุว่า LastPass บังคับให้กระบวนการรีเซ็ต MFA ต้องใช้รหัสผ่านจากอีเมล แต่เขาเข้าอีเมลไม่ได้เพราะเข้า LastPass ไม่ได้, ผู้ใช้บางคนระบุว่าต่อให้รีเซ็ตสำเร็จแล้ว แต่โค้ด MFA ใหม่กลับใช้งานไม่ได้, บางคนก็ระบุว่าไม่ได้รับอีเมลรีเซ็ต MFA

จากกรณี LastPass โดนแฮ็กครั้งใหญ่ สาเหตุมาจากวิศวกร DevOps ที่เข้าถึงระบบ 1 ใน 4 ราย ถูกแฮ็กเครื่องส่วนตัว ผ่านช่องโหว่ของโปรแกรมตัวหนึ่งที่ไม่ระบุชื่อ ทำให้เกิดความกังวลในแวดวงความปลอดภัยไซเบอร์ว่าเป็นช่องโหว่ที่รู้กันเฉพาะแฮ็กเกอร์หรือไม่ เพราะมันอาจถูกใช้ไปเจาะระบบอื่นๆ ต่อได้อีก

ตอนนี้มีเฉลยออกมาแล้วว่าโปรแกรมที่ทำให้โดนแฮ็กคือ Plex ซอฟต์แวร์ media server ชื่อดัง แต่กลับเป็นช่องโหว่เก่าที่ออกแพตช์ตั้งแต่ปี 2020 แล้ววิศวกรรายนี้ดันไม่ยอมอัพเดตเอง

LastPass รายงานถึงเหตุข้อมูลรั่วเมื่อปลายปี 2022 ที่ร้ายแรงถึงขนาดที่คนร้ายได้ฐานข้อมูลรหัสผ่านลูกค้าไป แม้ตัวฐานข้อมูลจะเข้ารหัสด้วย master password ก็ตาม

บริษัทระบุว่าวิศวกรที่เข้าถึงข้อมูลชุดนี้ได้มีเพียงวิศวกร DevOps สี่คนเท่านั้น และคนร้ายก็โจมตีคอมพิวเตอร์ที่บ้านของวิศวกรหนึ่งในสี่คนนี้ด้วยการเจาะโปรแกรมจากผู้ผลิตภายนอกและฝังเอา keylogger ลงในคอมพิวเตอร์ได้สำเร็จ เมื่อวิศวกรผู้นี้เข้าถึง vault ของบริษัทคนร้ายก็ได้ master password ของบริษัทไป ภายในมีกุญแจสำหรับเข้าถึง AWS S3 จำนวนมาก โดยเฉพาะระบบสำรองข้อมูล

GoTo บริษัทแม่ของ LastPass ประกาศเหตุข้อมูลรั่วไหลเนื่องจากใช้คลาวด์สตอเรจแชร์กับ LastPass ที่ทำข้อมูลหลุดเมื่อปีที่แล้ว โดยคนร้ายได้ไฟล์สำรองข้อมูลและกุญแจถอดรหัสไฟล์สำรองข้อมูลบางส่วนไป

ชายนิรนามคนหนึ่งยื่นขอฟ้องแบบกลุ่ม (class action) กับ LastPass หลังข้อมูลหลุดขนานใหญ่ หลังชายผู้นี้ถูกแฮกบิตคอยน์มูลค่า 53,000 ดอลลาร์หรือประมาณ 1.8 ล้านบาท โดยที่เก็บกุญแจบิตคอยน์ไว้ใน LastPass

ขายผู้นี้ใช้ LastPass มาตั้งแต่ปี 2016 แต่เพิ่งเริ่มซื้อบิตคอยน์เมื่อกลางปี 2022 ที่ผ่านมาโดยใช้ master password ยาวกว่า 12 ตัวอักษร และเมื่อได้ทราบข่าวก็ลบข้อมูลออกจาก LastPass แต่เดือนพฤศจิกายนที่ผ่านมาก็ถูกขโมยบิตคอยน์อยู่ดี

Evan J Johnson อดีตวิศวกรซอฟต์แวร์ของ LastPass ที่ทำงานมาตั้งแต่ช่วงปี 2013-2015 แสดงความเห็นต่อ เหตุการณ์ข้อมูลหลุดครั้งล่าสุดว่าเป็นเหตุการณ์ร้ายแรงที่สุดที่บริษัทเคยเจอ เพราะปกติฐานข้อมูลรหัสผ่านของลูกค้าถูกแยกฐานข้อมูลเอาไว้แล้ว

Johnson ยังเตือนว่ามีข้อมูลหลายอย่างที่คนร้ายเห็นแม้ตัวรหัสผ่านจะเข้ารหัสไว้ด้วยตัว master password ก็ตามที่ ประเด็นหลักๆ ได้แก่

LastPass รายงานถึงเหตุข้อมูลรั่วจากระบบคลาวด์สตอเรจ ทำให้คนร้ายเข้าถึงข้อมูลสำรองทั้งระบบ โดยเหตุการณ์นี้เกี่ยวเนื่องกับเหตุการณ์เมื่อเดือนสิงหาคมที่ผ่านมา เพราะคนร้ายใช้ข้อมูลที่ได้ไปครั้งนั้นเอาไปเข้าระบบสตอเรจอีกที

ข้อมูลสำรองที่ได้ไป ทำให้คนร้ายข้อมูลไปจำนวนมาก โดยเฉพาะข้อมูลลูกค้า เช่น ชื่อบริษัท, ชื่อผู้ใช้, ที่อยู่เรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, และหมายเลขไอพีที่เข้าใช้งาน รวมถึงตัวฐานข้อมูลรหัสผ่านของลูกค้าเอง ยกเว้นข้อมูลหมายเลขบัตรเครดิตที่ไม่ได้สำรองไว้ในระบบนี้

LastPass อัพเดตข้อมูลกรณีการโดนแฮ็กเมื่อเดือนสิงหาคม 2022 ที่ตอนแรกเชื่อว่าข้อมูลลูกค้าไม่ได้รับผลกระทบ เพราะแฮ็กเกอร์เข้าถึงเฉพาะซอร์สโค้ดของบริษัท

จากการตรวจสอบอย่างละเอียด LastPass ยอมรับว่าแฮ็กเกอร์เข้าถึงข้อมูลบางส่วนของลูกค้า (certain elements of our customers’ information) แต่ไม่ได้เข้าถึงข้อมูลรหัสผ่านของลูกค้าที่ถูกเข้ารหัสอีกที และตัว LastPass เองก็ไม่สามารถเข้าถึงได้

LastPass บอกว่าตอนนี้กำลังวิเคราะห์อยู่ว่ามีข้อมูลใดบ้างถูกเข้าถึงได้ และจะประกาศข้อมูลเพิ่มเติมต่อไป

LastPass ออกรายงานสรุปการสอบสวนกรณีถูกแฮ็กระบบเมื่อปลายเดือนสิงหาคม โดยระบุว่าจ้างบริษัท Mandiant ที่เป็นผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยมาช่วย

บริการจัดการรหัสผ่านยอดนิยม LastPass ประกาศว่าถูกแฮ็กระบบผ่านบัญชีของพนักงานฝ่ายพัฒนาซอฟต์แวร์รายหนึ่ง ข้อมูลที่ถูกเข้าถึงได้มีซอร์สโค้ดและเอกสารทางเทคนิค แต่ข้อมูลรหัสผ่านของผู้ใช้ยังปลอดภัยเพราะอยู่คนละส่วนกัน

LastPass ยังอธิบายวิธีการเก็บรหัสผ่านของผู้ใช้ ว่าเก็บรหัสผ่านที่เข้ารหัสแล้ว (encrypted passwords) ส่วนรหัสผ่านหลักหรือ Master Password ในการปลดล็อคอยู่ที่ผู้ใช้ และแม้แต่ LastPass เองก็ไม่สามารถเข้าถึงข้อมูลเหล่านี้ได้เช่นกัน (zero knowledge architecture) กรณีนี้ผู้ใช้จึงไม่ต้องทำอะไร และ LassPass ก็ไม่บังคับให้รีเซ็ตรหัสผ่านหลักแต่อย่างใด

ที่มา - LastPass

LastPass แอปจัดการรหัสผ่าน ประกาศแผนแยกบริษัทออกเป็นอิสระจากบริษัทแม่ LogMeIn โดยให้เหตุผลว่าทำสามารถโฟกัส พัฒนา และลงทุน ได้ตรงจุดและรวดเร็วมากขึ้น การเปลี่ยนแปลงนี้ไม่มีผลกับบัญชีผู้ใช้งานเดิม

LogMeIn ซื้อกิจการ LastPass เมื่อปี 2015 ที่มูลค่า 125 ล้านดอลลาร์ และ LastPass ก็มีฐานผู้ใช้งานเติบโตมาโดยตลอด มากกว่า 30 ล้านบัญชี เป็นลูกค้าธุรกิจมากกว่า 85,000 ราย

LastPass แอปจัดการรหัสผ่านที่หลายคนนิยมใช้ ประกาศเงื่อนไขการให้บริการสำหรับรุ่นฟรี จากเดิมที่สามารถใช้งานได้ในอุปกรณ์ 2 ประเภท ปรับเหลือเพียง 1 ประเภท มีผลตั้งแต่ 16 มีนาคม 2021 เป็นต้นไป

ประเภทอุปกรณ์ที่ LastPass กำหนด แบ่งเป็น Computer กับ Mobile Device ผู้ใช้งานต้องเลือกว่าจะใช้ LastPass กับอุปกรณ์ประเภทใดประเภทหนึ่งเท่านั้น เช่น ถ้าเลือก Computer ก็จะใช้งานได้บนแล็ปท็อป คอมพิวเตอร์ หรือคอมพิวเตอร์คนอื่น แต่จะใช้บนสมาร์ทโฟน แท็บแล็ต สมาร์ทวอทช์ ไม่ได้ (ในทางกลับกัน เหมือนกรณีเลือก Mobile Device)

ทั้งนี้ LastPass จะเลือกประเภทอุปกรณ์ให้ทันทีสำหรับการล็อกอินครั้งแรกตั้งแต่ 16 มีนาคม 2021 ผู้ใช้งานมีโอกาสเลือกสลับประเภทอุปกรณ์ได้ 3 ครั้ง

บริการจัดการรหัสผ่าน LastPass ประกาศเลิกพัฒนาแอปแบบเนทีฟบน macOS อย่างเป็นทางการ โดยจะผลักดันให้ผู้ใช้ไปใช้งานแอปแบบใหม่ซึ่งพัฒนาด้วยเทคโนโลยีเว็บแทน

LastPass ระบุว่า เหตุผลที่ตัดสินใจเลิกทำแอปของ LastPass บน macOS เนื่องจาก Apple จะปิด Safari Extension Gallery และให้ผู้พัฒนาส่วนขยายของ Safari ย้ายไปใช้งาน Mac App Store แทน

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

Tavis Ormandy นักวิจัยจาก Project Zero รายงานช่องโหว่ของ LastPass เปิดทางให้แฮกเกอร์สามารถดึงรหัสผ่านล่าสุดที่ใช้ล็อกอินในเบราว์เซอร์แท็บเดียวกันออกมาได้ แม้จะเป็นคนละเว็บกัน

ผู้ใช้จะมีความเสี่ยงต่อเมื่อใช้ส่วนขยาย LastPass สำหรับ Chrome โดยตอนนี้เป็นส่วนขยายที่มีคนใช้งานอยู่ถึง 10 ล้านคน

ทาง LastPass แก้ไขในเวอร์ชั่น 4.33.0 เรียบร้อย โดยใช้เวลาสองสัปดาห์หลัง Project Zero แจ้งไป จึงเปิดเผยข้อมูลออกมา

ที่มา - Project Zero

แอพจัดการรหัสผ่าน LastPass ออกอัพเดตล่าสุดสำหรับ iOS โดยรองรับระบบ autofill หรือระบบกรอกฟอร์มอัตโนมัติสำหรับ iOS 12 ที่เปิดให้แอพจัดการรหัสผ่านภายนอกเข้าถึง autofill และกรอกข้อมูลลงฟอร์มให้แอพได้

วิธีเปิดใช้งาน autofill ของ LastPass บน iOS 12 ไปที่ Settings > Password & Accounts > Autofill Passwords และกดปุ่มเปิด Autofill Passwords (แต่ถ้าเปิดอยู่แล้วก็ไม่ต้อง) จากนั้นเลือก LastPass และยืนยันตัวตนตามระบบของ LastPass แล้ว ระบบ autofill ของ iOS 12 ก็จะดึงข้อมูลจาก LastPass มาใช้งานได้ทันที โดยผู้ใช้สามารถเปิดใช้ LastPass ร่วมกับ iCloud Keychain รวมถึงแอพจัดการรหัสผ่านอื่น ๆ ได้ด้วย

อย่างที่รู้กันมาว่าตั้งแต่ทาง Mozilla ประกาศใช้ Extension API รุ่นใหม่ในชื่อ WebExtension และจะปล่อยให้ผู้ใช้ทั่วไปที่ใช้รุ่นเสถียรใช้จริงในรุ่น 57 ที่กำลังปล่อยในเดือนหน้านี้ โดย LastPass บน Firefox เป็นหนึ่งในส่วนขยายที่ยังไม่ได้รับการอัพเดตให้รองรับกับ WebExtension

ในเว็บบล็อกอย่างเป็นทางการของ LastPass ประกาศรองรับ WebExtension บน Firefox ตั้งแต่เวอร์ชั่น 57 เป็นต้นไป โดยที่ถูกติดสถานะเบต้าก่อนเพื่อทดสอบความเข้ากันของตัวเบราเซอร์ และจะปล่อยรุ่นเสถียรหลังจากวันที่ Firefox รุ่น 57 ได้ปล่อยสู่สาธาณะในเดือนหน้า พร้อมทั้งปล่อยรุ่นเสถียรบนเว็บรวมส่วนขยายของ Mozilla

แอพจัดการรหัสผ่าน LastPass ประกาศออกแอพรุ่นเบต้า ที่รองรับฟีเจอร์ Autofill ช่วยจัดการรหัสผ่านของ Android 8.0 Oreo

LastPass เคยประกาศว่าจะรองรับฟีเจอร์นี้มาก่อนแล้ว และเมื่อ Android 8.0 ออกตัวจริง LastPass จึงออกแอพให้คนทั่วไปร่วมทดสอบกันได้ (ลิงก์ Play Store Testing)

ฟีเจอร์ Autofill ไม่ได้ช่วยแค่การกรอกรหัสผ่านอัตโนมัติเท่านั้น แต่ยังช่วยจำฟอร์มอื่นๆ เช่น ข้อมูลบัตรเครดิต ที่อยู่ โดย Android จะเปิดให้แอพภายนอกเข้ามาจัดการเรื่อง Autofill ให้ ส่วนความปลอดภัยก็ขึ้นอยู่กับแอพแต่ละตัวจัดการกันเอง

LastPass แอพจัดการรหัสผ่านชื่อดัง เปิดตัวแพ็กเกจระดับ Families รองรับผู้ใช้สูงสุด 6 คนในราคา 48 ดอลลาร์ต่อปี โดยจะมีฟีเจอร์เท่ากับรุ่น Premium ทุกประการ

นอกจากนี้ LastPass ยังปรับราคาแพ็กเกจแบบ Premium ที่เดิมราคา 12 ดอลลาร์ต่อปี เป็น 24 ดอลลาร์ต่อปี และตัดฟีเจอร์บางอย่างของรุ่นฟรี เช่น unlimited sharing และ emergency access ออก เพื่อนำมาใส่ในรุ่น Premium แทน

ตอนนี้ผู้ใช้ LastPass รุ่นฟรียังสามารถใช้บันทึกรหัสผ่านของตัวเองได้ดังเดิม แต่ไม่สามารถแชร์รหัสผ่านให้เพื่อนหลายคนได้อีก (หนึ่งรหัสสามารถแชร์ได้หนึ่งคน) และในรุ่น Premium ก็มีฟีเจอร์เพิ่มเติมอย่าง multi-factor ด้วย

หนึ่งในฟีเจอร์ใหม่ของ Android O คือ Autofill API หรือการเปิด API ให้กับแอพช่วยเติมฟอร์ม เพื่อให้แอพจัดการรหัสผ่านทั้งหลาย สามารถยิงข้อมูลไปที่ฟอร์มได้โดยตรง

ล่าสุด แอพจัดการรหัสผ่านชื่อดัง LastPass ประกาศรองรับ Autofill API เรียบร้อยแล้ว ในอนาคต ผู้ใช้ LastPass บน Android O ก็จะสะดวกมากขึ้น เพราะสามารถกรอกรหัสผ่านแบบอัตโนมัติได้ทันที ไม่ว่าจะเป็นในเว็บเบราว์เซอร์หรือในแอพก็ตาม

Tavis Ormandy จาก Project Zero รายงานช่องโหว่ของปลั๊กอิน LastPass ที่ใช้เติมรหัสผ่านให้กับเว็บเบราว์เซอร์ ที่เปิดทางให้เว็บ lastpass.com เชื่อมต่อข้อมูลกับตัวปลั๊กอินได้ แต่กระบวนการมีช่องโหว่ทำให้เว็บใดๆ สามารถเข้าถึงตัวปลั๊กอินได้ทั้งหมด หากติดตั้ง LastPass Binary Component ไว้ด้วยก็จะเสียหายถึงขั้นแฮกเกอร์เรียกโปรแกรมใดๆ ในสิทธิ์ของผู้ใช้ได้

ทาง LastPass ได้รับรายงานจากกูเกิลตั้งแต่วันที 20 มีนาคมที่ผ่านมา และตอนนี้ออกแพตช์แก้ปัญหาเรียบร้อยแล้ว หากใครกังวล สามารถเช็คเวอร์ชั่นของส่วนเสริมได้ ตามเบราว์เซอร์ ได้แก่ Firefox ใช้รุ่น 4.1.36, Chrome ใช้รุ่น 4.1.43, Edge ใช้รุ่น 4.1.30 (รออนุมัติ), Opera ใช้รุ่น 4.1.28 (รออนุมัติ)