anonym.legal

By · Last updated 2026-03-17

Tilbage til BlogTeknisk

LastPass-bruddet: Lektioner i leverandørsikkerhed

LastPass krypterede deres brugeres data. Boksene blev alligevel eksfiltreret. 600.000+ Okta-poster fulgte. SaaS-sikkerhedshændelser steg 300 % fra 2022 til 2024.

March 17, 20268 min læsning
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Hændelsen der ændrede cloudsikkerhed

Opdateret for 2026

2022-LastPass-bruddet handler ikke primært om adgangskodeadministratorer. Det handler om tillid. Virksomheder stolede på en cloudleverandør med deres data. Den tillid brød. Årsagen var skjulte fejl, ikke skødesløshed.

LastPass solgte et zero-knowledge-design. I praksis var det ikke zero-knowledge. 25 millioner brugere fik deres krypterede bokse stjålet. Angrebet blev første gang offentliggjort i august 2022. LastPass reviderede sine oplysninger flere gange. Det fulde omfang fremgik i slutningen af 2022.

For virksomheder inden for sundhedsvæsen, finans og jura var dette ikke en fjern nyhedshistorie. Disse sektorer står over for reelt ansvar, når data lækker. LastPass-sagen var et tidligt tegn på et bredere problem.

To svagheder der muliggjorde angrebet

Gennemgang efter hændelsen afslørede to centrale svagheder.

Svag nøgleopsætning. LastPass brugte PBKDF2 til nøgleafledning. Nyere konti havde 100.100 iterationer. OWASP anbefaler 600.000. Nogle gamle konti havde så få som 1 iteration. Færre iterationer gør brute-force-angreb hurtige og billige. Angribere med boks-filer kunne teste masterkodeord med høj hastighed.

Klartekstmetadata. Boksindhold var krypteret. Men metadata var det ikke. URL'er, brugernavne og tjenestenavne var alle synlige i de stjålne data. Angribere kunne se, hvilke tjenester hver bruger havde konti hos. Det muliggjorde målrettet phishing og legitimationsstopning. Ingen boksknækning var nødvendig.

Denne sag viser, hvorfor to spørgsmål skal stilles separat. "Er designet zero-knowledge?" er ét spørgsmål. "Er bygningen korrekt?" er et andet spørgsmål.

Okta i 2023: Et andet angreb, det samme resultat

I oktober 2023 rapporterede Okta en sikkerhedshændelse. Et stjålet legitimationsoplysning gav en angriber adgang til sit kundesupportsystem. Angrebet eksponerede 600.000+ supportposter. Disse inkluderede filer uploadet af kunder under supportsessioner.

Okta er en identitetssikkerhedsplatform. Problemet var ikke en designfejl. Det var et adgangskontrolsvigt. En supportmedarbejders login blev stjålet. Angriberen brugte det til at nå følsomme data.

LastPass og Okta viser de to hovedveje til et leverandørkompromis:

  • Designsvigt — zero-knowledge-påstande, der ikke var bygget korrekt
  • Adgangskontrolsvigt — gyldige legitimationsoplysninger brugt til at nå data, de ikke burde nå

Zero-knowledge-design forhindrer den første type. Det stopper ikke en angriber med gyldige supportlegitimationsoplysninger. Men det blokerer den angriber fra at læse kundedata. Leverandøren holder aldrig dekrypterbart indhold. Se vores sikkerhed og compliance-oversigt for, hvordan dette gælder for PII-værktøjer.

SaaS-sikkerhedshændelser steg 300 % på to år

Obsidian Security fandt en stigning på 300 % i SaaS-platformssikkerhedshændelser fra 2022 til 2024.

Dette er ikke en 300 %-stigning i angribernes dygtighed. To kræfter drev det. SaaS-brug voksede hurtigt. Angribere fulgte dataene. Ét leverandørkompromis kan eksponere data fra dusinvis af klienter på én gang. Det afkast favoriserer leverandørangreb over enkeltvirksomhedsangreb.

Virksomheder, der antog, at cloudplatforme var sikre, er nødt til at opdatere den opfattelse. SaaS-leverandører er nu primære mål.

Spørgsmål at stille enhver cloudleverandør

For indkøbs- og sikkerhedsteams dækker denne tjekliste kerneområderne.

Krypteringsopsætning:

  • Spørg om nøgleafledningsalgoritmen, iterationsantallet og hukommelsesindstillingerne.
  • Bekræft, at iterationsantal opfylder OWASP-minimumerne. Det er 600.000 PBKDF2-SHA256 eller tilsvarende Argon2id.
  • Verificer, at nøgleafledning kører på din enhed, ikke på leverandørens servere.

Metadata-eksponering:

  • Spørg, hvilke metadata der opbevares i klartekst ved siden af krypteret indhold.
  • Anmod om en datamodel. Den bør vise, hvilke felter der er krypterede, og hvilke der er synlige i et angreb.

Supportadgang:

  • Spørg, om supportmedarbejdere kan tilgå kundedata.
  • Bekræft, at supportsystemer ikke kan nå kundens klartekst.

Hændelseshistorik:

  • Spørg om alle tidligere sikkerhedshændelser, herunder dem under tærsklerne for offentlig oplysning.
  • Vurder, hvor fuldstændige og ærlige tidligere oplysninger var.

LastPass-hændelsen var en bygningsfejl og en tillidsfejl. Leverandører med specifikke svar muliggør reel risikovurdering. Leverandører med vage påstande holder risiko skjult. Den risiko dukker ofte først op efter et angreb. Se vores compliance-oversigt for vejledning i leverandørevaluering.

anonym.legal bruger zero-knowledge-arkitektur til PII-anonymisering. Nøgleafledning kører via Argon2id i din browser eller desktop-app. Kryptering sker, inden data forlader din enhed. Servere opbevarer kun ciffertekst, de ikke kan dekryptere. Læs mere.

Kilder

Relaterede Artikler

Teknisk

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Teknisk

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Teknisk

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.