LastPass on yksi suosituimpia salasanamanagereja. Nyt yksityisyyden suojeluun tarkoitetusta sovelluksesta on paljastunut yllättävä piirre.

The Registerin mukaan LastPassin Android-sovelluksesta on löytynyt peräti seitsemän erilaista jäljitysohjelmaa. Näistä neljä on Googlen ohjelmia, joiden tarkoituksena on kerätä analytiikkatietoja ja vikaraportteja. Sen lisäksi sovelluksessa on esimerkiksi Segmentin jäljitin, joka kerää tietoja kohdennettuun mainontaan.

Jäljittimet löytäneen saksalaisen tietoturvatutkija Mike Kuketzin mukaan jäljittimillä kerätyn tiedon perusteella kootaan käyttäjistä profiileja, joiden pohjalta näille kohdennetaan mainoksia. Hänen mukaansa edes sovelluskehittäjät eivät tiedä, mitä tietoja jäljittimet tarkalleen ottaen käyttäjistä keräävät.

”Nämä eivät kuulu salasanamanagereihin, joiden tietoturva on kriittinen asia.”

Kuketz tutki myös, mitä tietoja käyttäjästä saadaan LastPassin jäljittimillä. Ne paljastavat hänen mukaansa käytössä olevan laitteen, teleoperaattorin, LastPass-tilin tyypin sekä Googlen mainos-ID:n. Kerätyn datan perusteella näkee myös, milloin käyttäjä luo uusia salasanoja.

Erityisen huolestuttavaa on löydös Googlen mainos-ID:stä, sillä kyseessä on käyttäjäkohtainen tunniste, jota käytetään kaikissa sovelluksissa. Mikäli sen saa tietoonsa, voi siis mahdollisesti päästä vakoilemaan käyttäjän toimia muissakin sovelluksissa.

Löydöksiensä perusteella Kuketz neuvoo ihmisiä käyttämään jotakin toista salasanamanageria, kuten 1Passwordia tai KeePassia. Näissä sovelluksissa ei ole havaittu olevan jäljittimiä.

Moni LastPassin käyttäjä pohtii palvelun vaihtoa jo valmiiksi, sillä yhtiö kertoi hiljattain merkittävästä muutoksesta palveluun. 16. maaliskuuta alkaen ilmaiskäyttäjät voivat käyttää LastPassia vain yhdellä laitetyypillä eli joko työpöytä- tai mobiililaitteella.