Seorang peneliti keamanan merekomendasikan pengelola kata sandi LastPass setelah merinci tujuh pelacak yang ditemukan di aplikasi Android, Pendaftaran laporan. Meskipun tidak ada yang menunjukkan pelacak, yang dianalisis oleh peneliti Mike Kuketz, mentransfer sandi atau nama pengguna pengguna yang sebenarnya, Kuketz mengatakan bahwa keberadaan mereka adalah praktik yang buruk untuk aplikasi keamanan kritis yang menangani informasi sensitif ini.
Menanggapi laporan tersebut, juru bicara LastPass mengatakan perusahaan mengumpulkan data terbatas “tentang bagaimana LastPass digunakan” untuk membantunya “meningkatkan dan mengoptimalkan produk.” Kebanyakan, kata LastPass Pendaftaran bahwa “tidak ada data sensitif pengguna yang dapat diidentifikasi secara pribadi atau aktivitas brankas yang dapat dikirim melalui pelacak ini”, dan pengguna dapat menonaktifkan pemindaian di bagian Privasi dari menu Pengaturan lanjutan.
Pelacak LastPass termasuk empat dari Google yang menangani analitik dan pelaporan insiden, serta satu dari perusahaan bernama Segmen, yang mengumpulkan data untuk tim pemasaran. Kuketz menganalisis data yang dikirimkan dan menemukan bahwa data tersebut mencakup informasi tentang merek dan model ponsel cerdas, serta informasi tentang pengaktifan keamanan biometrik bagi pengguna. Meskipun data yang dikirimkan tidak dapat diidentifikasi secara pribadi, integrasi kode pihak ketiga ini pada awalnya dapat menimbulkan potensi kerentanan keamanan, menurut Kuketz.
“Jika Anda benar-benar menggunakan LastPass, saya sarankan untuk mengubah pengelola kata sandi,” tulis Kuketz (melalui terjemahan mesin). “Ada solusi yang tidak secara permanen mengirim data ke pihak ketiga dan mencatat perilaku pengguna.”
LastPass bukan satu-satunya pengelola kata sandi yang menyertakan pelacak seperti ini, tetapi tampaknya memiliki lebih banyak dari mereka daripada banyak pesaing populer. Alternatif Bitwarden gratis hanya memiliki dua menurut Exodus Privacy, sementara RoboForm dan Dashlane memiliki empat, dan 1 Kata sandi tidak memiliki.
Laporan ini mengikuti pengumuman LastPass tentang sangat membatasi fungsionalitas dari penawaran gratisnya. Meskipun pengguna gratis saat ini dapat menyimpan sandi dalam jumlah tak terbatas di semua perangkat tanpa batasan, mereka harus segera memilih kategori perangkat untuk melihat dan mengelola sandi mereka – “Seluler” atau “Komputer” – kecuali jika mereka tidak ingin membayar layanan. Perubahan tersebut akan berlaku pada 16 Maret.
“Ninja internet yang tak tersembuhkan. Ahli daging. Sangat introvert. Analis. Pakar musik. Pendukung zombie.”
