anonym.legal
Назад към блогаТехнически

Какво би трябвало да научи всяко предприятие от...

LastPass криптира данните на своите потребители. Трезорите все още бяха ексфилтрирани. Последваха 600K+ Okta записи.

March 17, 20268 мин. четене
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Пробивът, който промени предположенията за корпоративна облачна сигурност

Пробивът на LastPass от 2022 г. не е предимно история за мениджъри на пароли. Това е история за това какво се случва, когато предприятията се доверят на облачни доставчици с най-чувствителните си данни и това доверие е нарушено - не поради безразсъдство, а чрез слабости в внедряването, които са били невидими отвън.

LastPass пусна на пазара архитектура с нулево знание. Архитектурата не беше с нулево знание на практика. 25 милиона потребители бяха ексфилтрирани със своите криптирани трезори. Пробивът беше разкрит за първи път през август 2022 г. и актуализиран многократно до края на 2022 г. с разширяването на обхвата.

За предприятия в сферата на здравеопазването, финансите и правните услуги — сектори, където излагането на данни създава регулаторна отговорност — нарушението на LastPass не беше изолиран инцидент, който да се наблюдава от разстояние. Това беше предварителен преглед на системен проблем.

Подробностите за внедряването, които имат значение

Анализът след нарушение разкри две критични слабости на внедряването:

**Недостатък в броя на итерациите: ** LastPass използва PBKDF2 за извличане на ключ. За по-новите акаунти те използваха 100 100 итерации - под препоръката на индустрията от 600 000. За по-стари акаунти (в някои случаи преди 2018 г.) броят на итерациите беше само 1 итерация. По-малкият брой итерации прави атаките с груба сила върху криптираните трезори изчислително осъществими. Нападателите, които са получили трезори, могат систематично да се опитват да разбият главните пароли.

Излагане на метаданни: Докато съдържанието на трезора беше криптирано, метаданните не бяха. URL адреси, съхранени в мениджъра на пароли, потребителски имена и имена на услуги бяха видими в ексфилтрираните данни. Нападателите можеха да идентифицират с кои услуги потребителите имат акаунти, позволявайки насочен фишинг и пълнене на идентификационни данни дори без да разбиват криптирането на трезора.

За екипите за обществени поръчки, оценяващи доставчиците на облачна сигурност, случаят LastPass демонстрира, че трябва да се отговори поотделно на два въпроса: „Архитектурата с нулево знание ли е?“ и "Правилно ли е изпълнението?"

Пробивът на Okta: същият месец, различен механизъм

През октомври 2023 г. Okta разкри, че заплахата е използвала откраднати идентификационни данни за достъп до системата за поддръжка на клиенти на Okta. Пробивът разкри 600 000+ записа за поддръжка на клиенти, включително файлове, качени от клиенти по време на взаимодействие с поддръжката.

Okta е платформа за сигурност на самоличността. Пробивът не беше фундаментална повреда на архитектурата - това беше повреда в контрола на достъпа до веригата за доставки. Идентификационните данни на инженер по поддръжката бяха компрометирани и нападателят използва законен достъп, за да достигне до чувствителни данни.

Комбинацията от LastPass и Okta илюстрира двата режима на отказ, с които се сблъскват доставчиците на корпоративни облачни услуги:

  • Архитектурни грешки: твърдения за нулево знание не са реално приложени
  • Неуспешен контрол на достъпа: законни идентификационни данни, водещи до неоторизиран достъп до данни

Архитектурата с нулево знание адресира първия режим на повреда. Той не защитава срещу решителен нападател, който получава законни идентификационни данни за системи за поддръжка на доставчици. Но той гарантира, че дори такъв нападател не може да получи достъп до обикновен текст на клиента - защото системите за поддръжка на доставчика никога нямат достъп до декриптируеми данни.

Инцидентите със сигурността на SaaS са се увеличили с 300% от 2022 г. до 2024 г.

Изследването на AppOmni и Cloud Security Alliance, проследяващо инциденти с пробиви на SaaS от 2022 до 2024 г., установи 300% увеличение на инцидентите със сигурността, засягащи SaaS платформите през този период.

Цифрата от 300% не представлява 300% увеличение в сложността на нападателя. Това представлява нарастването на приемането на SaaS, съчетано с адаптирането на нападателите: тъй като повече корпоративни данни се преместиха в облачни платформи, нападателите преместиха ресурси, за да се насочат към тези платформи. Възвръщаемостта на инвестициите от компрометиране на доставчик на SaaS — получаване на достъп до данни от десетки или стотици корпоративни клиенти едновременно — е значително по-висока от насочването към отделни предприятия.

За предприятия, които са изградили своите процеси за оценка на сигурността на доставчиците около предположението, че облачните доставчици са сигурни цели, данните за 2022-2024 г. изискват повторно калибриране. Предположението е погрешно. Доставчиците на SaaS са приоритетни цели.

Контролният списък за одит след LastPass

За предприятия, които преоценяват сигурността на облачните доставчици след инцидентите LastPass и Okta, практичен контролен списък:

Внедряване на криптиране:

  • Заявете алгоритъма за извличане на ключ, броя на итерациите и параметрите на паметта
  • Потвърдете, че броят на итерациите отговаря на текущите препоръки на OWASP (минимум 600 000 PBKDF2-SHA256 или еквивалентни параметри Argon2id)
  • Уверете се, че извличането на ключ се извършва от страна на клиента, а не на сървърите на доставчика

Защита на метаданни:

  • Попитайте конкретно какви метаданни се съхраняват в обикновен текст заедно с криптирано съдържание
  • Поискайте модела на данни, показващ кои полета са криптирани и кои са достъпни при сценарии за пробив

Поддържа контроли за достъп до системата:

  • Поискайте документация относно достъпа на инженера по поддръжката до клиентските данни
  • Потвърдете, че системите за поддръжка нямат достъп до клиентски данни в обикновен текст

История на известията за нарушения:

  • Поискайте разкриване на всички предишни инциденти със сигурността, включително тези, които не достигат праговете за публично разкриване
  • Оценете прозрачността и пълнотата на предишните разкрития

Нарушението на LastPass беше отчасти неуспех на внедряването и отчасти неуспех на прозрачността относно внедряването. Предприятията, които задават подробни въпроси преди избора на доставчик, получават отговори, които позволяват информирана оценка на риска. Предприятия, които приемат искове на високо ниво — „ние криптираме вашите данни“ — наследяват риска от откриване на подробности за изпълнението след пробив.

Източници:

Свързани статии

Технически

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Технически

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Технически

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции