Η Παραβίαση LastPass: Χρονολόγιο
Αύγουστος 2022: Αρχική παραβίαση—κλάπηκε πηγαίος κώδικας Νοέμβριος 2022: Δεύτερη παραβίαση—χρησιμοποίησε αποθηκευμένα διαπιστευτήρια από πρώτη Δεκέμβριος 2022: LastPass αποκαλύπτει κλεμμένα θησαυροφυλάκια 2023-2025: $438M+ κλεμμένα από χρήστες cryptocurrency LastPass
Γιατί Απέτυχε το LastPass
Προτύπωμα 1: Σχεδιαστική Απόφαση Κρυπτογράφησης
Το LastPass κρυπτογραφούσε ορισμένα πεδία αλλά αποθήκευε άλλα σε plaintext:
- URLs αποθηκεύονταν μη κρυπτογραφημένα → αποκάλυπταν ποιους ιστότοπους χρησιμοποιούσαν οι χρήστες
- Μεταδεδομένα αποθηκεύονταν σε plaintext → βοηθούσαν στοχοποιημένες επιθέσεις
- Ιστορικό iterations κρυπτογράφησης → βοηθούσε brute-force παλαιών λογαριασμών
Προτύπωμα 2: Κλειδιά Κρυπτογράφησης στη Λάθος Πλευρά
Η master password (που χρησιμοποιείται για παραγωγή κλειδιών) επεξεργαζόταν σε εξωτερικά συστήματα, αφήνοντας υπολείμματα που βοηθούσαν decryption επίθεσης.
Μαθήματα για Αξιολόγηση Προμηθευτών
Μάθημα 1: Ελέγξτε ποια πεδία πράγματι κρυπτογραφούνται (όχι τι λέει ο προμηθευτής)
Μάθημα 2: Ελέγξτε πού γίνεται παραγωγή κλειδιών (πελάτης vs. διακομιστής)
Μάθημα 3: Αξιολογήστε σχεδιαστικές αποφάσεις, όχι μόνο πολιτικές
Μάθημα 4: Ζητήστε ανεξάρτητη ασφαλιτική επαλήθευση
Μάθημα 5: Ελέγξτε τι συμβαίνει μετά από παραβίαση (transparency, response speed)
Εφαρμογή στη Επιλογή Εργαλείου PII
Όταν αξιολογείτε εργαλεία ανωνυμοποίησης PII:
| Ερώτηση | Ανησυχητική Απάντηση | Ασφαλής Απάντηση |
|---|---|---|
| Πού κρυπτογραφούνται τα δεδομένα; | "Οι διακομιστές μας" | "Η συσκευή του πελάτη" |
| Ποιος κρατά τα κλειδιά; | "Εμείς με ασφάλεια" | "Μόνο ο πελάτης" |
| Τι εκτίθεται σε παραβίαση; | "Ελάχιστα δεδομένα" | "Μόνο κρυπτοκείμενο" |
Πηγές: