Lösenordshanteraren LastPass samlar potentiellt stora mängder data om sina användare via sin Android-app. Enligt en säkerhetsforskare har företaget implementerat hela sju så kallade trackers i sin app.
- LastPass kan inte se exakt vilken data trackers kan samla
- Frågar inte om tillåtelse när tracker-servrar kontaktas
- LastPass lovar att ingen integritetskänslig data sparas
- Konkurrenter har inte lika många trackers (vissa inga alls!)
En track används för att spåra användare och lagra olika typer av data om hur individer använder appar och sin mobiltelefon. Normalt är det inga konstigheter, vi använder exempelvis Google Analytics för att veta vilka artiklar som har flest besökare.
Det som gör allt lite känsligt för LastPass är att företaget hanterare extremt personlig data, som lösenord, användarnamn och betalkortsuppgifter.
Lästips: Bitwarden är bästa alternativet till LastPass (gratis lösenordshanterare)
Ännu värre för LastPass, även om data som samlas inte är integritetskänslig, är att konkurrenterna inte har lika många (eller några alls) trackers i sina appar. Ouch.
Här är hela listan med trackers som LastPass använder i sin Android-app:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- segment
Listan kommer från säkerhetsforskaren Mike Kuketz. Han har undersökt vilka trackers det är, datan de samlar och hur processen ser ut.
Det Mike Kuketz noterade är bland annat att LastPass-appen kontaktar alla sju tracker-servrar UTAN att fråga användaren om nätverksåtkomst först.
Det finns inga indikationer på att någon tracker skulle identifiera användarnamn och lösenord för att spara dessa. Däremot kan appen lagra information om när lösenord skapas och vilken lösenordstyp det är.
Lästips: LastPass försämras för gratisanvändare – ingen support & få enheter
Problemet? LastPass kan omöjligen veta exakt vilken data som flera av dessa trackers samlar, för många använder proprietär kod som LastPass inte har insyn i – vilket öppnar för allvarliga säkerhetsproblem.
Ännu värre för LastPass är det att alla stora konkurrenter inte har i närheten lika många trackers.
En talesperson för LastPass säger till webbsajten The Register att ”…no sensitive personally identifiable user data or vault activity could be passed through these trackers.” Det är också möjligt att stänga av alla trackers via inställningarna, även om vi absolut tycker det borde vara en opt-in och inte en opt-out i det här fallet.