anonym.legal

By · Last updated 2026-03-17

Zpět na blogTechnické

Průnik LastPass: Poučení z bezpečnosti dodavatelů

LastPass šifroval data svých uživatelů. Trezory přesto byly odcizeny. Následovalo 600 000+ záznamů Okta. Bezpečnostní incidenty SaaS vzrostly od roku 2022 do roku 2024 o 300 %.

March 17, 20268 min čtení
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incident, který změnil cloudovou bezpečnost

Aktualizováno pro rok 2026

Průnik LastPass z roku 2022 není primárně o správcích hesel. Je o důvěře. Firmy svěřily cloudovému dodavateli svá data. Tato důvěra se zlomila. Příčinou byly skryté chyby, nikoli lehkomyslnost.

LastPass prodával návrh s nulovou znalostí. V praxi nulová znalost nebyla. 25 milionům uživatelů byly odcizeny jejich šifrované trezory. Útok byl poprvé oznámen v srpnu 2022. LastPass svá zveřejnění několikrát revidoval. Plný rozsah se ukázal do konce roku 2022.

Pro firmy ve zdravotnictví, financích a právu to nebyl vzdálený příběh ze zpráv. Tyto sektory čelí reálné odpovědnosti při úniku dat. Případ LastPass byl raným signálem širšího problému.

Dvě slabiny, které útok umožnily

Přezkum po incidentu odhalil dvě klíčové slabiny.

Slabé nastavení klíčů. LastPass používal PBKDF2 pro derivaci klíčů. Novější účty měly 100 100 iterací. OWASP doporučuje 600 000. Některé starší účty měly pouhé 1 iteraci. Méně iterací dělá útoky hrubou silou rychlými a levnými. Útočníci s trezory mohli testovat hlavní hesla vysokou rychlostí.

Metadata v prostém textu. Obsah trezoru byl šifrován. Ale metadata šifrována nebyla. URL adresy, uživatelská jména a názvy služeb byly viditelné v odcizených datech. Útočníci mohli vidět, ke kterým službám má každý uživatel účty. To umožnilo cílené phishingové útoky a stuffing přihlašovacích údajů. Žádné prolomení trezoru nebylo potřeba.

Tento případ ukazuje, proč musí být dvě otázky kladeny zvlášť. „Je návrh s nulovou znalostí?” je jedna otázka. „Je implementace správná?” je jiná otázka.

Okta v roce 2023: Jiný útok, stejný výsledek

V říjnu 2023 Okta oznámila bezpečnostní incident. Odcizené přihlašovací údaje poskytly útočníkovi přístup k jejímu systému zákaznické podpory. Útok odhalil 600 000+ záznamů podpory. Ty zahrnovaly soubory nahrané zákazníky během relací podpory.

Okta je platforma pro zabezpečení identit. Problémem nebyla chyba návrhu. Bylo to selhání řízení přístupu. Přihlašovací údaje pracovníka podpory byly odcizeny. Útočník je použil k přístupu k citlivým datům.

LastPass a Okta ukazují dvě hlavní cesty ke kompromitaci dodavatele:

  • Chyby návrhu — tvrzení o nulové znalosti, která nebyla správně implementována
  • Selhání řízení přístupu — platné přihlašovací údaje použité k přístupu k datům, ke kterým by neměla dosáhnout

Návrh s nulovou znalostí zabraňuje prvnímu typu. Nezastaví útočníka s platnými přihlašovacími údaji podpory. Ale zablokuje ho před čtením zákaznických dat. Dodavatel nikdy nedrží dešifrovatelný obsah. Viz náš přehled bezpečnosti a shody, kde se dozvíte, jak to platí pro nástroje pro osobní údaje.

Bezpečnostní incidenty SaaS vzrostly za dva roky o 300 %

Obsidian Security zaznamenal nárůst o 300 % v bezpečnostních incidentech SaaS platforem od roku 2022 do roku 2024.

Toto není nárůst dovedností útočníků o 300 %. Pohánějí ho dvě síly. Využití SaaS rychle rostlo. Útočníci se vydali za daty. Jeden kompromitovaný dodavatel může najednou odhalit data od desítek klientů. Tato výnosnost upřednostňuje útoky na dodavatele před útoky na jednotlivé firmy.

Podniky, které předpokládaly, že cloudové platformy jsou bezpečné, musí tento pohled aktualizovat. Dodavatelé SaaS jsou nyní primárními cíli.

Otázky pro každého cloudového dodavatele

Pro nákupní a bezpečnostní týmy pokrývá tento kontrolní seznam základní oblasti.

Nastavení šifrování:

  • Vyžádejte si algoritmus derivace klíčů, počet iterací a nastavení paměti.
  • Potvrďte, že počty iterací splňují minimální hodnoty OWASP. To je 600 000 PBKDF2-SHA256 nebo ekvivalentní Argon2id.
  • Ověřte, že derivace klíčů běží na vašem zařízení, nikoli na serverech dodavatele.

Expozice metadat:

  • Zeptejte se, jaká metadata jsou uložena v prostém textu vedle šifrovaného obsahu.
  • Vyžádejte si datový model. Měl by ukazovat, která pole jsou šifrována a která jsou viditelná při útoku.

Přístup podpory:

  • Zeptejte se, zda pracovníci podpory mohou přistupovat k zákaznickým datům.
  • Potvrďte, že systémy podpory nemohou dosáhnout zákaznického prostého textu.

Historie incidentů:

  • Vyžádejte si všechny předchozí bezpečnostní incidenty, včetně těch pod prahem veřejného zveřejnění.
  • Posuďte, jak úplná a upřímná byla předchozí zveřejnění.

Incident LastPass byl selháním implementace a selháním důvěry. Dodavatelé s konkrétními odpověďmi umožňují skutečný přezkum rizik. Dodavatelé s vágními tvrzeními nechávají riziko skryté. To riziko se často ukáže až po útoku. Viz náš přehled shody s předpisy pro pokyny k hodnocení dodavatelů.

anonym.legal používá architekturu s nulovou znalostí pro anonymizaci osobních údajů. Derivace klíčů probíhá přes Argon2id ve vašem prohlížeči nebo desktopové aplikaci. Šifrování probíhá před odesláním dat z vašeho zařízení. Servery ukládají pouze šifertext, který nemohou dešifrovat. Více informací.

Zdroje

Související články

Technické

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technické

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technické

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.