Майк Кукетц, експерт з кібербезпеки, був вельми здивований, виявивши цілих сім трекерів в додатку, якому користувачі довіряють свої паролі. Варто відзначити, що LastPass встановили з Google Play понад десять мільйонів разів. Трекери, серед яких є 4 від компанії Google, можуть використовуватися для збору даних у рекламних цілях.

Цікаво Простий пароль міг стати причиною хакерської атаки на компанію SolarWinds

Що виявив дослідник

Додаток містить наступні трекери:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPixel
  • Segment

Трекери стали звичайним явищем в додатках таких типів, як соціальні мережі та клієнти інтернет-магазинів. А ось що стосується програм, призначених для забезпечення конфіденційності, таких як менеджери паролів, дослідники сходяться на думці, що включення в них трекерів є вкрай неетичним.

Кукетц зазначає, що шість з семи трекерів в LastPass активуються ще до початку взаємодії користувача з додатком. Але при цьому вони не запитують користувача, чи згоден він надавати свої дані третім особам.

Звичайно, трекери не мають доступу до паролів, що зберігаються в додатку, однак вони відстежують практично всі дії користувача.

Представники LastPass запевнили ЗМІ, що за допомогою виявлених трекерів не можна передавати конфіденційні дані користувачів, і їх сховище теж в безпеці. Трекери, за їх словами, збирають лише статистичну інформацію про використання програми, яка використовується для поліпшення й оптимізації продукту. До того ж відмовитися від збору аналітики можна в налаштуваннях.

Ярлики конфіденційності в Apple AppStore також вказують на те, що версія LastPass для iOS збирає ряд призначених для користувача даних, включаючи місце розташування, список контактів, а також має доступ до призначеного для користувача контенту і рекламного ідентифікатора.