LastPass被发现用了7个第三方追踪程式

前二周才先因缩减免费授权的适用装置范围而引发抱怨的金钥管理服务LastPass，又被研究人员发现使用了高达7个第三方追踪程式。

德国部落客Mike Kuketz引述非营利安全研究组织Exodus Privacy一项针对市面上主要密码管理器的研究发现，Android版LastPass 4.11.18.6150版内含7个第三方厂商提供的资料搜集程式。不过LastPass说用户可以退出。

这7个程式包括Google 4款程式（Analytics、CrashLytics、Firebase Analytics、Tag Manager）、以及AppsFlyer、MixPanel、Segment的技术。许多程式是用于行销广告部门“用户的单一全方位视角”，以了解使用者在不同平台上的使用行为和线上足迹。

Kuketz也分析网络流量，调查这些程式传送了什么资讯，他发现，这些资讯包含用户用了什么装置、电信商、LastPass账号类型、以及Google Advertising ID（可用于分析用户不同App的使用资料），而在App使用期间，这些资料也能显示用户新增密码，以及密码型态。

虽然Kuketz尚未发现有用户密码或使用者名称被传出去，但他指出，LastPass这类处理密码等敏感资讯的App不应该包含这些追踪程式，因为广告和分析模组在这里并没有用，整合在密码管理器上完全不合理。事实上，LastPass这类处理敏感资讯的服务，根本不应该藏有私人不透明的第三方程式码。但LastPass Android App完全没有明显的声明告知，只能借由人工检查才会发现这些程式码，而且也未提供退出选项（opt-out）。

其他密码管理器中，Exodus Privacy研究人员并未在1Pass及KeePass发现第三方追踪程式码。此外开源密码管理器Bitwarden包含Google Firebase及微软Visual Studio当机报告程式。免费的Dashlane则有4款。

Kuketz建议使用者转换到开源密码管理器如KeePass。

不过LastPass对The Register指出，这些追踪程式并未搜集任何敏感的个人辨识资讯或使用活动资讯，只会搜集有限的匿名统计资讯，旨在用于改善LastPass的产品设计。LastPass也指出用户的确可以透过“隐私设定区”下>“进阶设定”>“隐私”来退出资料搜集，同时也会持续评估，以符合资料隐私要求。

LastPass上个月中变更免费版政策，引起用户哗然。从3月16日起免费版将只能选择存取行动或电脑装置，无法同时存取两种装置，而从3月17日起，免费版用户也不再有电子邮件技术支援服务。