anonym.legal
العودة إلى المدونةتقني

ما يجب أن تعلمه خرق LastPass لكل مؤسسة حول أمان بائعي...

قامت LastPass بتشفير بيانات مستخدميها. ومع ذلك، تم استخراج الخزائن. تلتها أكثر من 600 ألف سجل من Okta. زادت حوادث أمان SaaS بنسبة 300% من 2022 إلى 2024.

March 17, 20268 دقيقة قراءة
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

الخرق الذي غير افتراضات أمان السحابة للمؤسسات

خرق LastPass في عام 2022 ليس مجرد قصة عن مديري كلمات المرور. إنها قصة عن ما يحدث عندما تثق المؤسسات ببائعي السحابة مع بياناتها الأكثر حساسية وتُنتَهك تلك الثقة — ليس من خلال الإهمال ولكن من خلال نقاط ضعف في التنفيذ كانت غير مرئية من الخارج.

سوقت LastPass بنية تحتية ذات معرفة صفرية. لم تكن البنية تحتية ذات معرفة صفرية في الممارسة العملية. 25 مليون مستخدم تم استخراج خزائنهم المشفرة. تم الكشف عن الخرق لأول مرة في أغسطس 2022 وتم تحديثه عدة مرات حتى أواخر 2022 مع توسع نطاقه.

بالنسبة للمؤسسات في مجالات الرعاية الصحية والمالية والخدمات القانونية — القطاعات التي يخلق فيها تعرض البيانات مسؤولية تنظيمية — لم يكن خرق LastPass حادثًا معزولًا يمكن مشاهدته من بعيد. كان لمحة عن مشكلة نظامية.

تفاصيل التنفيذ التي كانت مهمة

كشف التحليل بعد الخرق عن نقطتين ضعف حرجتين في التنفيذ:

نقص عدد التكرارات: استخدمت LastPass PBKDF2 لاشتقاق المفاتيح. بالنسبة للحسابات الجديدة، استخدموا 100,100 تكرار — أقل من التوصية الصناعية البالغة 600,000. بالنسبة للحسابات القديمة (قبل 2018 في بعض الحالات)، كان عدد التكرارات منخفضًا يصل إلى 1 تكرار. تجعل الأعداد الأقل من التكرارات الهجمات بالقوة الغاشمة على الخزائن المشفرة ممكنة حسابيًا. يمكن للمهاجمين الذين حصلوا على الخزائن محاولة كسر كلمات المرور الرئيسية بشكل منهجي.

تعرض البيانات الوصفية: بينما كانت محتويات الخزائن مشفرة، لم تكن البيانات الوصفية كذلك. كانت عناوين URL المخزنة في مدير كلمات المرور، أسماء المستخدمين، وأسماء الخدمات مرئية في البيانات المستخرجة. كان بإمكان المهاجمين تحديد الخدمات التي كان لدى المستخدمين حسابات بها، مما يمكّن من التصيد المستهدف وملء بيانات الاعتماد حتى دون كسر تشفير الخزائن.

بالنسبة لفرق الشراء التي تقيم بائعي أمان السحابة، توضح حالة LastPass أنه يجب الإجابة على سؤالين بشكل منفصل: "هل البنية تحتية ذات معرفة صفرية؟" و"هل التنفيذ صحيح؟"

خرق Okta: نفس الشهر، آلية مختلفة

في أكتوبر 2023، كشفت Okta أن فاعل تهديد استخدم بيانات اعتماد مسروقة للوصول إلى نظام دعم العملاء في Okta. كشف الخرق عن 600,000+ سجل دعم عملاء، بما في ذلك الملفات التي تم تحميلها من قبل العملاء خلال تفاعلات الدعم.

Okta هي منصة أمان الهوية. لم يكن الخرق فشلًا أساسيًا في البنية التحتية — بل كان فشلًا في التحكم في الوصول لسلسلة التوريد. تم اختراق بيانات اعتماد مهندس دعم، واستخدم المهاجم الوصول الشرعي للوصول إلى البيانات الحساسة.

توضح مجموعة LastPass وOkta وضعي الفشل اللذين تواجههما بائعي السحابة في المؤسسات:

  • فشل البنية التحتية: ادعاءات المعرفة الصفرية التي لم يتم تنفيذها بشكل حقيقي
  • فشل التحكم في الوصول: بيانات اعتماد شرعية تؤدي إلى الوصول غير المصرح به للبيانات

تتعامل بنية المعرفة الصفرية مع وضع الفشل الأول. إنها لا تحمي من مهاجم مصمم يحصل على بيانات اعتماد شرعية لأنظمة دعم البائعين. لكنها تضمن أنه حتى مثل هذا المهاجم لا يمكنه الوصول إلى بيانات العملاء النصية — لأن أنظمة دعم البائع لا تصل أبدًا إلى بيانات قابلة لفك التشفير.

زادت حوادث أمان SaaS بنسبة 300% من 2022 إلى 2024

وجدت أبحاث AppOmni وCloud Security Alliance التي تتبع حوادث خرق SaaS من 2022 إلى 2024 زيادة بنسبة 300% في حوادث الأمان التي تؤثر على منصات SaaS خلال هذه الفترة.

لا تمثل نسبة 300% زيادة في تعقيد المهاجمين. بل تمثل نمو اعتماد SaaS مع تكيّف المهاجمين: مع انتقال المزيد من بيانات المؤسسات إلى منصات السحابة، حول المهاجمون مواردهم لاستهداف تلك المنصات. إن العائد على الاستثمار من اختراق بائع SaaS — الحصول على الوصول إلى بيانات من عشرات أو مئات من عملاء المؤسسات في وقت واحد — أعلى بكثير من استهداف مؤسسات فردية.

بالنسبة للمؤسسات التي بنت عمليات تقييم أمان البائعين لديها حول افتراض أن بائعي السحابة هم أهداف آمنة، تتطلب بيانات 2022-2024 إعادة معايرة. الافتراض خاطئ. بائعي SaaS هم أهداف ذات أولوية.

قائمة التحقق من التدقيق بعد LastPass

بالنسبة للمؤسسات التي تعيد تقييم أمان بائعي السحابة بعد حوادث LastPass وOkta، إليك قائمة تحقق عملية:

تنفيذ التشفير:

  • اطلب خوارزمية اشتقاق المفتاح، عدد التكرارات، ومعلمات الذاكرة
  • تأكد من أن عدد التكرارات يتماشى مع توصيات OWASP الحالية (600,000 PBKDF2-SHA256 كحد أدنى، أو معلمات Argon2id مكافئة)
  • تحقق من أن اشتقاق المفتاح يحدث على جانب العميل، وليس على خوادم البائع

حماية البيانات الوصفية:

  • اسأل تحديدًا عن البيانات الوصفية المخزنة كنص عادي بجانب المحتوى المشفر
  • اطلب نموذج البيانات الذي يوضح أي الحقول مشفرة وأيها متاحة في سيناريوهات الخرق

ضوابط وصول نظام الدعم:

  • اطلب وثائق حول وصول مهندسي الدعم إلى بيانات العملاء
  • تأكد من أن أنظمة الدعم لا يمكنها الوصول إلى بيانات العملاء النصية

تاريخ إشعارات الخرق:

  • اطلب الكشف عن جميع الحوادث الأمنية السابقة، بما في ذلك تلك التي لم تصل إلى عتبات الكشف العامة
  • تقييم الشفافية وكمال الإفصاحات السابقة

كان خرق LastPass جزئيًا فشلًا في التنفيذ وجزئيًا فشلًا في الشفافية حول التنفيذ. المؤسسات التي تطرح أسئلة مفصلة قبل اختيار البائعين تتلقى إجابات تسمح بتقييم المخاطر بشكل مستنير. المؤسسات التي تقبل الادعاءات العامة — "نحن نشفر بياناتك" — ترث خطر اكتشاف تفاصيل التنفيذ بعد حدوث خرق.

المصادر:

مقالات ذات صلة

تقني

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

تقني

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

تقني

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

هل أنت مستعد لحماية بياناتك؟

ابدأ بإخفاء المعلومات الشخصية مع أكثر من 285 نوع كيان عبر 48 لغة.

ابدأ تجربة مجانيةعرض الميزات