LastPass niet zo betrouwbaar als ze zeggen

  • 5 December 2018
  • 15 reacties
  • 2941 Bekeken

LastPass wordt door de Consumentenbond aanbevolen als beste wachtwoordbeheerder. Omdat ik bedrijfsmatig weleens vragen over wachtwoordenbeheer krijg, heb ik LastPass eens geïnstalleerd op mijn smartphone. De mogelijkheden zijn inderdaad groot en de kluis zal wel goed zijn (hoewel je wel al je wachtwoorden aan de cloud toevertrouwd).

Wat ik onder de aandacht wil brengen is echter het volgende. Ik heb het internetverkeer dat deze app genereert gelogd, en wat schetst mijn verbazing: de app stuurt allerlei gegevens over mijn smartphone naar advertentie(?)sites, inclusief het ad-id van Google, ondanks dat ik die heb uitgeschakeld!

Er wordt niet alleen informatie uitgewisseld met lastpass.com, maar ook met a.fiksu.com (div. info over mijn smartphone en interne id's), gate.hockeapp.net en api.segment.io (van de laatste 2 niet te traceren welke informatie)

Dat maakt dat deze wachtwoordkluis in mijn ogen plotseling een heel stuk minder betrouwbaar overkomt. Misschien kan aan dergelijke zaken (i.v.m. privacy e.d.) door de consumentenbond ook aandacht worden geschonken in de tests.

15 reacties

Reputatie 5
Badge +6
Ik vermoed dat u heeft 'gemeten' wat hier wordt beschreven: https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/ ?!
Ik vraag me af of dat zo is. De loggegevens komen namelijk niet vanuit een browser, maar vanuit de LastPass app zelf.

Details: aan https://a.fiksu.com/50026/android/com.lastpass.lpandroid/event werden vanuit de LastPass app de volgende parameters doorgegeven: appid, a_id a_enabled (=0) deviceid, udid, device, app_version, app_name, system_version, system_name, country, lang, timezone, gmtoffset, event, app_tracking_enabled.

Met name het doorgeven van de a_id (advertentie-ID) terwijl a_enabled bij mij op 0 staat (=Sta apps niet toe je advertentie_ID te gebruiken), vind ik een kwalijke zaak voor een app die claimt betrouwbaar met je gegevens om te gaan.
Reputatie 5
Badge +6
Maar voordat er stellige, beschuldigende uitspraken worden gedaan, is het m.i. zaak dat te onderbouwen. Het kan natuurlijk, maar het lijkt me sterk dat u de eerste zou zijn die dit vast stelt/ontdekt. Er zou dan toch van gerenommeerde bronnen ook al iets op internet over te vinden moeten zijn? Ik heb even gezocht, en kon niet meer vinden dan wat ik meldde, maar u heeft wellicht meer informatie en kunt wellicht wel andere bronnen vinden die uw stelling onderbouwen?
Ik ben niet de eerste die dit ontdekt. Zie: https://www.reddit.com/r/Lastpass/comments/8v7yem/why_lastpass_needs_connect_to_the_following_3rd/

In mijn ogen zou een dergelijke app alleen maar met eigen servers contact moeten leggen. En zeker niet tegen mijn instellingen in toch advertentie id's moeten gaan uitwisselen met 3rd party's.
Een app die mijn voorkeuren met een korreltje zout neemt, komt bij mij niet betrouwbaar over.

(Maar, zoals eerder gezegd, dat zegt niets over de veiligheid van de opgeslagen wachtwoorden.)

Hier wil ik het maar bij laten. Ik hoop dat de consumentenbond bij het testen van apps in de toekomst ook een proxy op het netwerk zet die weergeeft wat voor ongewenst internetverkeer zo'n app genereert en dat meeneemt in de beoordeling.
Reputatie 4
Badge +4
Het geconstateerde zou ik in ieder geval niet direct aan de “betrouwbaarheid” van LastPass willen koppelen. Als je het hebt over de betrouwbaarheid van een wachtwoordmanager denken de meeste mensen eerder aan hoe goed je wachtwoorden beschermd zijn. Op dat gebied heeft LastPass de zaken prima voor elkaar, blijkt onder meer uit onze tests.

Of LastPass je privacy serieus genoeg neemt en er transparant genoeg over is, is een ander verhaal. Tijdens onze test van wachtwoordmanagers hebben we dezelfde constateringen gedaan, zowel onder Android als iOS.

Op dit moment hebben we dergelijke informatie niet meegewogen in ons Testoordeel. Het blijft lastig of en hoe zwaar je dit moet meewegen. Het kan bijvoorbeeld het gevolg hebben dat een product niet meer als Beste Koop of Beste uit de Test komt, terwijl de kernfunctionaliteit van het product heel erg goed is.

We zijn momenteel samen met internationale collega-consumentenbonden aan het werk om te bepalen hoe we hier mee om willen gaan. Het is de bedoeling om bij veel digitale/connected (internet of things) producten te bekijken hoe het zit met de veiligheid en privacy, dit in onze testprogramma's te verwerken en uiteindelijk consumenten hierover te informeren.

Overigens is een vervelende bijkomstigheid dat de kosten voor dit soort onderzoek vaak enorm hoog zijn. Soms zelfs meer dan de kosten voor de eigenlijke producttest waarbij de kernfunctionaliteit, gebruiksgemak, etc wordt beoordeeld.
Reputatie 5
Badge +5
Daarom: KeePass (met gewoon de database lokaal op je computer)
Reputatie 5
Badge +6
Zou het een idee zijn om b.v. via Computer idee, COMPUTER! TOTAAL een samenverkingsverband aan te gaan?
Reputatie 7
Badge +7
Zou het een idee zijn om b.v. via Computer idee, COMPUTER! TOTAAL een samenverkingsverband aan te gaan?
Hoe zou zo'n samenwerkingsverband er uit moeten zien, @GdR?
Gewoon beginnen met een etentje.
Reputatie 5
Badge +6
Dag @Monique ,
Leuk dat je een response geeft.
Voor zover ik begrepen heb, hebben jullie ook contacten met andere consumentenorganisaties.
Hierdoor kunnen verschillende testresultaten uitgewisseld worden en eventueel gedeeld.
Misschien zijn er ook mogelijkheden aanwezig om bepaalde testen uit te voeren i.z.m. andere "instellingen".
@Léonz Het komt soms voor dat er bij een etentje leuke afspraken kunnen ontstaan.
Zolang deze maar niet onderhands plaats vinden en daarna niet openbaar gemaakt mogen worden.
Tenzij er toch afspraken gedaan zijn in het belang van het land.
Reputatie 7
Badge +7
Dag @GdR, ik begrijp waar je heen wilt. Een dergelijk contact is echter niet gemakkelijk gelegd, al helemaal niet als het om testresultaten gaat. Zoals je weet is de Consumentenbond, net als haar zusterorganisaties 100% onafhankelijk. Om onze testen ook onafhankelijk te houden, hanteren wij hele strikte regels. Om deze onafhankelijke en eerlijke testresultaten te waarborgen, is het vaak lastig om met dergelijke organisaties samen te werken. Wel zal ik je tip doorgeven aan onze experts, wellicht kunnen we er nog iets anders mee. Misschien leuk om te lezen: ''Zo test de Consumentenbond'' (Gedragsregels voor vergelijkend onderzoek)
Reputatie 5
Badge +6
Dag @Monique ,
Bedankt voor je persoonlijke reacties 😉.
Succes met je activiteiten en een gezond nieuwjaar toegewenst.
Badge

@Monique 

Begrijpelijk dat een samenwerking soms complex is etc, maar het is wel mogelijk om bij zo’n artikel duidelijk een voorbehoud te maken dat dit of dat niet meegenomen is in de test. Dat kost niets en dan kan de consument in ieder geval zelf bepalen of hij daar nog andere bronnen op na wil slaan.

We zijn inmiddels 2 jaar verder sinds mijn eerste melding en nu lees ik op Tweakers dat ze in Duitsland achter hetzelfde zijn gekomen. Hun conclusie komt overeen met die van mij, nl. dat een wachtwoordmanager niet hoort te communiceren over van alles en nog wat met derden.

Zie deze link https://tweakers.net/nieuws/178586/lastpass-bevat-zeven-datatrackers-in-de-android-app-ook-van-marketingbureaus.html

Badge

Inmiddels ben ik, naar aanleiding van de zoveelste prijsverhoging bij 1Password, overgestapt naar Enpass. Waarom bijvoorbeeld 1Password (wat) beter scoort volgens de testers, wordt mij niet duidelijk, want het doet alles wat 1Password kan, voor minder geld – zeker na de laatste prijsverhoging. Het werkt op alle apparaten en browsers, er is een aantrekkelijk familie-abonnement, etc etc.

Reageer