26 February 2021

Немецкий исследователь обнаружил, что менеджер паролей LastPass содержит семь трекеров

Это очень плохо для приложения, которое обрабатывает конфиденциальные данные, считает он; компания-разработчик же настаивает на том, что собирает не персональные данные, а только агрегированную статистику.  

Немецкий специалист по кибербезопасности Майк Кукетц проверил менеджер паролей LastPass на наличие трекеров и при помощи Exodus Privacy обнаружил в нём семь модулей:

• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPanel
• Segment

Для приложения, которое обрабатывает конфиденциальные данные (пароли), это очень плохо, считает Кукетц. По его словам, модулям рекламы и аналитики здесь не должно быть места: никакой закрытый и непрозрачный внешний код не должен интегрироваться в подобные приложения. Ведь, какие данные эти трекеры собирают и передают сторонним поставщикам, иногда не знают и сами разработчики этих сервисов.

Кукетц запустил приложение LastPass и посмотрел, что передают трекеры. В своём блоге он пишет, что, например, MixPanel отправил название производителя устройства, версию Android, номер модели, идентификатор устройства, тип учётной записи LastPass и информацию о включении биометрического логина и функции автозаполнения.  AppsFlyer помимо большей части этого списка отослал ещё название оператора сотовой сети, Android-идентификатор рекламы и некий идентификатор пользователя. Некоторые из трекеров безобидны, но тот же идентификатор объявлений Android можно использовать для отслеживания местоположения, говорят исследователи. Segment, допустим, собирает данные для маркетологов и предлагает «единое представление о клиенте», предположительно для персонализированной рекламы.

«Никакие персональные данные пользователей или информация о их деятельности не могут быть переданы через эти трекеры. Они собирают ограниченные агрегированные статистические данные о том, как вы используете LastPass. Такие сведения помогают нам улучшить и оптимизировать продукт», ответили на разбор исследователя в LastPass.

Кукетц отметил, что отказаться от сбора данных в приложении нельзя. Однако в LastPass заявили, что это можно сделать в настройках конфиденциальности, где надо отключить «отслеживание истории входа в систему и заполнение форм и «отправление анонимных данных отчётов об ошибках, чтобы помочь улучшить LastPass». Две эти строки активны по умолчанию.

По данным Exodus, не все менеджеры паролей содержат трекеры. В 1Password и KeePass их нет. Но в Bitwarden их два Google Firebase (аналитика) и Microsoft Visual Studio (отчёты об аварийном заверении работы). В Dashlane есть четыре трекера.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.