anonym.legal
Πίσω στο BlogΤεχνικά

Τι Έπρεπε να Μας Διδάξει η Παραβίαση LastPass για την...

Το LastPass κρυπτογραφούσε τα δεδομένα χρηστών. Τα θησαυροφυλάκια εκτέθηκαν εν τούτοις. 600K+ αρχεία Okta ακολούθησαν.

March 17, 20268 λεπτά ανάγνωσης
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Η Παραβίαση LastPass: Χρονολόγιο

Αύγουστος 2022: Αρχική παραβίαση—κλάπηκε πηγαίος κώδικας Νοέμβριος 2022: Δεύτερη παραβίαση—χρησιμοποίησε αποθηκευμένα διαπιστευτήρια από πρώτη Δεκέμβριος 2022: LastPass αποκαλύπτει κλεμμένα θησαυροφυλάκια 2023-2025: $438M+ κλεμμένα από χρήστες cryptocurrency LastPass

Γιατί Απέτυχε το LastPass

Προτύπωμα 1: Σχεδιαστική Απόφαση Κρυπτογράφησης

Το LastPass κρυπτογραφούσε ορισμένα πεδία αλλά αποθήκευε άλλα σε plaintext:

  • URLs αποθηκεύονταν μη κρυπτογραφημένα → αποκάλυπταν ποιους ιστότοπους χρησιμοποιούσαν οι χρήστες
  • Μεταδεδομένα αποθηκεύονταν σε plaintext → βοηθούσαν στοχοποιημένες επιθέσεις
  • Ιστορικό iterations κρυπτογράφησης → βοηθούσε brute-force παλαιών λογαριασμών

Προτύπωμα 2: Κλειδιά Κρυπτογράφησης στη Λάθος Πλευρά

Η master password (που χρησιμοποιείται για παραγωγή κλειδιών) επεξεργαζόταν σε εξωτερικά συστήματα, αφήνοντας υπολείμματα που βοηθούσαν decryption επίθεσης.

Μαθήματα για Αξιολόγηση Προμηθευτών

Μάθημα 1: Ελέγξτε ποια πεδία πράγματι κρυπτογραφούνται (όχι τι λέει ο προμηθευτής)

Μάθημα 2: Ελέγξτε πού γίνεται παραγωγή κλειδιών (πελάτης vs. διακομιστής)

Μάθημα 3: Αξιολογήστε σχεδιαστικές αποφάσεις, όχι μόνο πολιτικές

Μάθημα 4: Ζητήστε ανεξάρτητη ασφαλιτική επαλήθευση

Μάθημα 5: Ελέγξτε τι συμβαίνει μετά από παραβίαση (transparency, response speed)

Εφαρμογή στη Επιλογή Εργαλείου PII

Όταν αξιολογείτε εργαλεία ανωνυμοποίησης PII:

ΕρώτησηΑνησυχητική ΑπάντησηΑσφαλής Απάντηση
Πού κρυπτογραφούνται τα δεδομένα;"Οι διακομιστές μας""Η συσκευή του πελάτη"
Ποιος κρατά τα κλειδιά;"Εμείς με ασφάλεια""Μόνο ο πελάτης"
Τι εκτίθεται σε παραβίαση;"Ελάχιστα δεδομένα""Μόνο κρυπτοκείμενο"

Πηγές:

Έτοιμοι να προστατεύσετε τα δεδομένα σας;

Ξεκινήστε την ανωνυμοποίηση PII με 285+ τύπους οντοτήτων σε 48 γλώσσες.