セキュリティ研究者は、LastPass に組み込まれている 7 つのトラッカーを検出し、パスワード マネージャーを変更することを推奨しています。これはドイツ人のマイク・クケッツ氏で、機密情報を扱うアプリケーションにトラッカーが存在するのは「悪い習慣」であると断言している。同社は、データ収集は「製品の改善と最適化」のために使用されると述べています。
The Registerによると、Exodus Privacy からのデータに基づいて作成された Mike Kuketz のレポートは、 LastPass が分析と障害レポートを担当する 4 つの Google トラッカーを持っていることを示しています。 1 つは「マーケティング チームのデータを収集する」 Segment からのもので、もう 1 つは AppsFlyer と MixPanel からのものです。
クケッツ氏は、LastPass に組み込まれたトラッカーによって送信される情報を分析したと述べています。その意味で、ブランドやモデルなどの携帯電話に関するデータや、ユーザーが生体認証機能を有効にしているかどうかに関する情報が確実に送信されるようになります。ドイツ人は、サードパーティのコードをパスワード マネージャーに統合すると、潜在的なセキュリティ脆弱性が生じると主張しています。
Exodus Privacy では、最も人気のあるパスワード マネージャーのいくつかに組み込まれているトラッカーの数を比較しています。 RoboForm と Dashlane には 4 つあり、無料のオープンソースである Bitwarden には 2 つあり、 1Passwordと KeePass には 1 つもありません。このデータによると、 7 つのトラッカーを備えた LastPass がリストのトップにあります。
「本当に LastPass を使用している場合は、パスワード マネージャーを変更することをお勧めします。データを永続的に第三者に送信せず、ユーザーの行動を記録しないソリューションもあります。」とドイツのセキュリティ研究者は言います。
会社の対応
LastPassの広報担当者はThe Registerに対し、「ユーザーの個人を特定できる機密データや保管庫のアクティビティはトラッカーを通過できない」と語った。さらに、彼らはその用途を次のように指定しています。
「これらのトラッカーは、LastPass の使用方法に関する限られた集計統計データを収集します。これは、製品の改善と最適化に役立ちます。」
LastPass によるデータ収集を防ぐ方法
LastPass は、使用するブラウザやデバイスに関係なく、すべてのユーザーがデータ分析をオプトアウトできると述べています。これらを無効にしたい場合は、 [アカウント設定] > [詳細設定を表示] > [プライバシー]で対応するオプションを見つけることができます。
参考資料一覧
- https://reports.exodus-privacy.eu.org/en/reports/165465/
- https://www.theregister.com/2021/02/25/lastpass_android_trackers_found/
- https://reports.exodus-privacy.eu.org/en/reports/com.x8bit.bitwarden/latest/