LastPass被發現用了7個第三方追蹤程式

前二周才先因縮減免費授權的適用裝置範圍而引發抱怨的金鑰管理服務LastPass，又被研究人員發現使用了高達7個第三方追蹤程式。

德國部落客Mike Kuketz引述非營利安全研究組織Exodus Privacy一項針對市面上主要密碼管理器的研究發現，Android版LastPass 4.11.18.6150版內含7個第三方廠商提供的資料蒐集程式。不過LastPass說用戶可以退出。

這7個程式包括Google 4款程式（Analytics、CrashLytics、Firebase Analytics、Tag Manager）、以及AppsFlyer、MixPanel、Segment的技術。許多程式是用於行銷廣告部門「用戶的單一全方位視角」，以了解使用者在不同平台上的使用行為和線上足跡。

Kuketz也分析網路流量，調查這些程式傳送了什麼資訊，他發現，這些資訊包含用戶用了什麼裝置、電信商、LastPass帳號類型、以及Google Advertising ID（可用於分析用戶不同App的使用資料），而在App使用期間，這些資料也能顯示用戶新增密碼，以及密碼型態。

雖然Kuketz尚未發現有用戶密碼或使用者名稱被傳出去，但他指出，LastPass這類處理密碼等敏感資訊的App不應該包含這些追蹤程式，因為廣告和分析模組在這裏並沒有用，整合在密碼管理器上完全不合理。事實上，LastPass這類處理敏感資訊的服務，根本不應該藏有私人不透明的第三方程式碼。但LastPass Android App完全沒有明顯的聲明告知，只能藉由人工檢查才會發現這些程式碼，而且也未提供退出選項（opt-out）。

其他密碼管理器中，Exodus Privacy研究人員並未在1Pass及KeePass發現第三方追蹤程式碼。此外開源密碼管理器Bitwarden包含Google Firebase及微軟Visual Studio當機報告程式。免費的Dashlane則有4款。

Kuketz建議使用者轉換到開源密碼管理器如KeePass。

不過LastPass對The Register指出，這些追蹤程式並未蒐集任何敏感的個人辨識資訊或使用活動資訊，只會蒐集有限的匿名統計資訊，旨在用於改善LastPass的產品設計。LastPass也指出用戶的確可以透過「隱私設定區」下>「進階設定」>「隱私」來退出資料蒐集，同時也會持續評估，以符合資料隱私要求。

LastPass上個月中變更免費版政策，引起用戶嘩然。從3月16日起免費版將只能選擇存取行動或電腦裝置，無法同時存取兩種裝置，而從3月17日起，免費版用戶也不再有電子郵件技術支援服務。