Γιατί 'Κρυπτογραφούμε τα Δεδομένα σας' δεν Αρκεί...

Μετά το LastPass: Νέα Εποχή Αξιολόγησης Προμηθευτών

Το 2022, η LastPass παραβιάστηκε. Ο προμηθευτής διαβεβαίωσε τους χρήστες: τα κλειδιά τους κρυπτογραφούνταν, τα δεδομένα ήταν ασφαλή.

Έως το 2025, πάνω από $438 εκατομμύρια είχαν κλαπεί από λογαριασμούς κρυπτονομισμάτων χρηστών LastPass—απευθείας από «κρυπτογραφημένα» θησαυροφυλάκια.

Πώς; Το LastPass κρατούσε τα κλειδιά κρυπτογράφησης. Όταν οι επιτιθέμενοι παραβίασαν την υποδομή του LastPass, είχαν πρόσβαση στα κλειδιά.

Ερωτήσεις που Πρέπει να Υποβάλλετε σε Κάθε Προμηθευτή SaaS

Ερώτηση 1: Πού Γίνεται η Κρυπτογράφηση;

• Ασφαλής απάντηση: "Η κρυπτογράφηση γίνεται στη συσκευή του πελάτη πριν μετάδοση"
• Επικίνδυνη απάντηση: "Κρυπτογραφούμε τα δεδομένα σας στους διακομιστές μας"

Ερώτηση 2: Ποιος Κρατά τα Κλειδιά Κρυπτογράφησης;

• Ασφαλής απάντηση: "Τα κλειδιά δημιουργούνται και αποθηκεύονται αποκλειστικά από εσάς"
• Επικίνδυνη απάντηση: "Αποθηκεύουμε κλειδιά σε ασφαλή διακομιστή που διαχειριζόμαστε"

Ερώτηση 3: Μπορεί ο Προμηθευτής να Αποκτήσει Πρόσβαση στα Δεδομένα;

• Ασφαλής απάντηση: "Μαθηματικά αδύνατο—δεν έχουμε ποτέ τα κλειδιά σας"
• Επικίνδυνη απάντηση: "Δεν θα αποκτήσουμε ποτέ πρόσβαση" (πολιτική, όχι τεχνική εγγύηση)

Ερώτηση 4: Τι Συμβαίνει σε Περίπτωση Παραβίασης;

• Ασφαλής απάντηση: "Μόνο κρυπτοκείμενο εκτίθεται—αποκρυπτογράφηση χωρίς τα κλειδιά σας είναι αδύνατη"
• Επικίνδυνη απάντηση: "Ειδοποιούμε τους πελάτες και η ομάδα ασφαλείας μας ανταποκρίνεται"

Αρχιτεκτονική Μηδενικής Γνώσης anonym.legal

Οι απαντήσεις μας στις παραπάνω ερωτήσεις:

1. Κρυπτογράφηση στη συσκευή πελάτη πριν μετάδοση
2. Κλειδιά αποθηκεύονται μόνο από εσάς (θησαυροφυλάκιο BIP39)
3. Μαθηματικά αδύνατη πρόσβαση χωρίς τα κλειδιά σας
4. Παραβίαση εκθέτει μόνο κρυπτοκείμενο—αχρείαστο χωρίς κλειδιά

• Τεχνικό Whitepaper Ασφάλειας
• Ξεκινήστε δωρεάν

Πηγές:

• Krebs on Security - LastPass Breach Analysis
• ICO - LastPass UK Fine