anonym.legal

By · Last updated 2026-03-17

Tornar al BlogTècnic

La Bretxa de LastPass: Lliçons de Seguretat de Proveïdors

LastPass va xifrar les dades dels seus usuaris. Les caixes fortes van ser igualment exfiltrades. Van seguir mes de 600.000 registres d'Okta. Els incidents de seguretat SaaS van augmentar un 300% del 2022 al 2024.

March 17, 20268 min llegit
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

L'Incident que va Transformar la Seguretat al Núvol

Actualitzat per al 2026

La bretxa de LastPass del 2022 no tracta principalment de gestors de contrasenyes. Tracta de confianca. Les firmes van confiar en un proveidor al núvol amb les seves dades. Aquella confianca es va trencar. La causa eren defectes ocults, no imprudencia.

LastPass venia un disseny de zero-knowledge. A la practica, no era zero-knowledge. 25 milions d'usuaris van tenir les seves caixes fortes xifrades robades. L'atac es va divulgar per primera vegada l'agost del 2022. LastPass va revisar les seves divulgacions diverses vegades. L'abast complet va emergir a finals del 2022.

Per a firmes en sanitat, finances i el sector legal, no era una noticia llunyana. Aquests sectors s'enfronten a responsabilitat real quan les dades es filtren. El cas de LastPass va ser un senyal primerenc d'un problema mes ampli.

Dos Defectes que van Possibilitar l'Atac

La revisio postincident va trobar dues debilitats clau.

Configuracio de claus feble. LastPass va usar PBKDF2 per a la derivacio de claus. Els comptes mes nous tenien 100.100 iteracions. OWASP en recomana 600.000. Alguns comptes antics tenien tan sols 1 iteracio. Menys iteracions fan els atacs de força bruta rapids i barats. Els atacants amb arxius de caixes fortes podien provar contrasenyes mestres a alta velocitat.

Metadades en text clar. El contingut de les caixes fortes estava xifrat. Pero les metadades no. Les URL, noms d'usuari i noms de serveis eren tots visibles en les dades robades. Els atacants podien veure a quins serveis tenia comptes cada usuari. Aixo va possibilitar el phishing dirigit i l'umpliment de credencials. No calia trencar cap caixa forta.

Aquest cas demostra per que cal fer dues preguntes per separat. "El disseny es zero-knowledge?" es una pregunta. "La construccio es correcta?" es una pregunta diferent.

Okta el 2023: Un Atac Diferent, el Mateix Resultat

L'octubre del 2023, Okta va informar d'un incident de seguretat. Una credencial robada va donar a un atacant acces al sistema d'assistencia al client. L'atac va exposar mes de 600.000 registres d'assistencia. Aquests incloïen arxius pujats pels clients durant les sessions d'assistencia.

Okta es una plataforma de seguretat d'identitat. El problema no va ser un defecte de disseny. Va ser una fallada de control d'acces. Es va robar l'inici de sessio d'un enginyer d'assistencia. L'atacant el va usar per accedir a dades sensibles.

LastPass i Okta mostren els dos camins principals cap a un compromes de proveidor:

  • Fallades de disseny -- afirmacions de zero-knowledge que no van ser construides correctament
  • Fallades de control d'acces -- credencials valides usades per accedir a dades que no haurien d'assolir

El disseny de zero-knowledge prevé el primer tipus. No atura un atacant amb credencials d'assistencia valides. Pero bloqueja aquell atacant perque no pugui llegir les dades del client. El proveidor mai no te contingut desxifrable. Vegeu la nostra visio general de seguretat i conformitat per veure com aixo s'aplica a les eines de PII.

Els Esdeveniments de Seguretat SaaS van Augmentar un 300% en Dos Anys

Obsidian Security va trobar un augment del 300% en els esdeveniments de seguretat de plataformes SaaS del 2022 al 2024.

No es un augment del 300% en les habilitats dels atacants. Dues forces ho van impulsar. L'us de SaaS va creixer rapidament. Els atacants van seguir les dades. Un compromes d'un proveidor pot exposar dades de desenes de clients alhora. Aquell guany afavoreix els atacs contra proveïdors en lloc d'atacs contra empreses individuals.

Les empreses que assumien que les plataformes al núvol eren segures han d'actualitzar aquesta visio. Els proveïdors SaaS son ara objectius principals.

Preguntes a Fer a Qualsevol Proveidor al Núvol

Per als equips de compres i seguretat, aquesta llista de verificacio cobreix les arees clau.

Configuracio de xifratge:

  • Demaneu l'algorisme de derivacio de claus, el recompte d'iteracions i la configuracio de memoria.
  • Confirmeu que els recomptes d'iteracions compleixen els minims d'OWASP. Aixo es 600.000 PBKDF2-SHA256 o Argon2id equivalent.
  • Verifiqueu que la derivacio de claus s'executa al vostre dispositiu, no als servidors del proveidor.

Exposicio de metadades:

  • Pregunteu quines metadades s'emmagatzemen en text clar al costat del contingut xifrat.
  • Sol.liciteu un model de dades. Ha de mostrar quins camps estan xifrats i quins son visibles en un atac.

Acces d'assistencia:

  • Pregunteu si el personal d'assistencia pot accedir a les dades del client.
  • Confirmeu que els sistemes d'assistencia no poden accedir al text en clar del client.

Historial d'incidents:

  • Demaneu tots els esdeveniments de seguretat anteriors, inclosos aquells per sota dels llindars de divulgacio publica.
  • Avalueu la completesa i l'honesteda de les divulgacions anteriors.

L'incident de LastPass va ser una fallada de construccio i una fallada de confianca. Els proveïdors amb respostes especifiques permeten una revisio real del risc. Els proveïdors amb afirmacions vagues deixen el risc ocult. Aquell risc sovint surt a la llum nomes despres d'un atac. Vegeu la nostra visio general de conformitat per orientacio sobre l'avaluacio de proveïdors.

anonym.legal usa arquitectura de zero-knowledge per a l'anonimitzacio de PII. La derivacio de claus s'executa via Argon2id al vostre navegador o aplicacio d'escriptori. El xifratge es produeix abans que les dades surtin del vostre dispositiu. Els servidors emmagatzemen nomes text xifrat que no poden desxifrar. Mes informacio.

Fonts

Articles Relacionats

Tècnic

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tècnic

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tècnic

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.