anonym.legal

By · Last updated 2026-03-16

Itzuli BlogeraTeknikoa

ZK Aldarrikapenak Ebaluatzen LastPass Ondoren

LastPass erabiltzaileengandik 438 milioi dolar lapurtu ziren beren enkriptatutako ganga-salak urratu ondoren. ICO-ren 1,2 milioi librako zigorra jarraitu zuen. Hona hemen hornitzaile batek benetako zero-knowledge ezarri ote duen ebaluatzeko zerrenda.

March 16, 20268 min irakurri
zero-knowledge evaluationvendor security assessmentLastPass breachcloud encryption claimsGDPR Article 32

Aldarrikapenaren eta Arkitekturaren Arteko Aldea

2026rako eguneratua

Hodei hornitzaile bakoitzak gauza berdina esaten du: "Zure datuak enkriptatzen ditugu." Aldarrikapen hori ia beti egia da. Ia beti ez da nahikoa.

LastPass-en 2022ko haustura adibiderik onena da. LastPass-ek erabiltzailearen pasahitz ganga-salak enkriptatu zituen. Enkriptazio erreala erabili zuten. Aldarrikapena zehatza zen. Eta hala ere 25 milioi erabiltzailek beren ganga-salak lapurtu zizkieten. 2025erako, 438 milioi dolar hartu ziren LastPass erabiltzaileengandik kripto lapurretak bidez. Coinbase Institutional-ek zifra hau jarraitu zuen.

Erreinuko Informazioaren Komisariaren Bulegoak LastPass-en UK entitateak 1,2 milioi libra isunarazi zituen 2025eko abenduan. Arrazoia: "segurtasun neurri tekniko eta antolakuntza egokiak ezartzeko hutsegitea." Enkriptazioa erreala zen. Baina ez zuen beharrezko estandarra bete.

LastPass kasua ikusmira nagusia aldatzen du edozein hodei pribatutasun tresnarentzat. Ez "gure datuak enkriptatzen al dituzte?" baizik: "gure datuak desenkriptatu al ditzakete?"

Benetazko Axola Duten Lau Galdera

Lau galderak hornitzailearen zero-knowledge aldarrikapenak eusten duen agerian uzten du.

1. Non gertatzen da gako erator?

Benetako zero-knowledge diseinuan, gako eratora bezeroaren aldetik gertatzen da. Honek esan nahi du nabigatzailean edo mahaiganeko aplikazioan, datu edozein bidali aurretik. Gakoak datuak lokalki enkriptatzen ditu. Soilik zifratzea iristen da hornitzailearen zerbitzarietara.

Hornitzaileak gako eratora bere zerbitzarietan egiten badu, gakoak dituzte. Gakoak badituzte, desenkriptatu dezakete. Aldarrikapena zehatza izan daiteke -- baina engainagarria.

2. Inoiz ikusten al du hornitzaileak testu garbia?

Tresna batzuek atseden datuak enkriptatzen dituzte. Baina prozesatzeko desenkriptatzen dituzte. Hau AI ereduak, bilaketa indizeak edo ikuskatze erregistroak exekutatzeko gerta daiteke. Leiho horretan, testu garbia hornitzailearen sistemetara dago. Momentu horretan egindako eraso batek enkriptatu gabeko datuak agerian uzten ditu.

3. Zer gertatzen da prozesu legalaren pean?

Zerbitzari aldetik gakoak dituen hornitzaile batek desenkriptatutako edukia entregatzera behartu daiteke. Benetako zero-knowledge dituen hornitzaileak soilik zifratzea eman dezake. Ez daukate ezer erabilgarririk entregatzeko, subpoena baten pean ere.

4. Zer agerian uzten du zerbitzari osoa arriskuan jartzen denean?

Benetako zero-knowledge sisteman, osoko konpromiso batek soilik enkriptatutako blokeak lortzen ditu. Erasotzaileak gakurik gabeko zifratzea lortzen du. Hornitzaile-gako sisteman, sartzeak gakoak eta datuak aldi berean agerian uzten ditu.

LastPass Ezarpen Hutsunea

LastPass gertakariak falta zehatz bat agerian utzi zuen. Kontu zaharragoek PBKDF2 1 iterazio bezain gutxirekin erabiltzen zuten gako eratoran. Ziurtasun kopurua 600.000 iterazio da. Ezarpen ahul horrek ebatsi ganga-salen gainean indar gordinezko erasoak bideragarri egin zituen.

Honek erakusten du soilik diseinua egiaztatzea ez dela nahikoa. Hornitzaile batek zero-knowledge diseinua erabili eta oraindik gaizki ezarri dezake. Galdetu biak: non eratortzen diren gakoak, eta zein sendoa den algoritmoa.

Hutsegite Modu Ezberdin Bat: Okta

2023ko urrian, Okta-k 600.000 bezero laguntza erregistroen ihesa jakinarazi zuen. Okta identitate plataforma bat da. Hau ez zen zero-knowledge diseinu ahul bat. Bezero datuak zeukan laguntza sistema sartzea zen.

2024ko %300eko SaaS eraso hazkundea (AppOmni/CSA) bi hutsegite motak islatzen ditu. Zero-knowledge diseinuak lehen mota heltzen du. Ez du arrisku guztia kentzen. Baina sistema osoaren konpromisoa ziurtatzen du ez duela desenkriptatu daitekeen bezero-datuak agerian uzten.

Benetako Ebaluazioak Nolakoa Den

Hona kontrataziorako taldeen zerrenda praktikoa.

Arkitektura berrikuspena:

  • Galdetu non gertatzen den gako eratora -- bezeroaren aldetik ala hornitzailearen zerbitzarian
  • Eskatu enkriptazio algoritmoa, gako luzera eta iterazio kopurua
  • Berretsi testu garbia ez doa hornitzaileen zerbitzarietara

Konpromiso eszenatoki proba:

  • Galdetu zer agerian uzten duen zerbitzariaren osoko konpromisoak
  • Erantzun bakarra: "desenkriptatu ezin dugun enkriptatutako zifratzea"
  • Beste edozein erantzunek esan nahi du aldarripena ez dela benetako zero-knowledge

Prozesu legal berrikuspena:

  • Galdetu hornitzaileak bezeroaren testu garbiaren subpoena batekin bete dezakeen
  • Benetako zero-knowledge hornitzaile batek ezin du ezer ekoitzi ez duelako

Betetze egiaztapena:

  • Eskatu hornitzailearen GDPR 32. artikuluaren dokumentazioa
  • ISO 27001 -- bereziki A Eranskin kriptografiko kontrolak -- kanpoko egiaztapena ematen du

1,2 milioi librako LastPass ICO isuna erakusten du erregulatzaileek orain enkriptazio aldarrikapenek beharrezko estandar bat betetzen duten ala ez egiaztatzen dute. Kontratazio taldeek proba berdina aplika dezakete gertakari bat gertatu aurretik.

Ikusi gure segurtasun eta betetze ikuspegia nola kudeatzen duen anonym.legal-ek zero-knowledge. Betetze dokumentazioak GDPR 32. artikulua osoki estaltzen du. Galdera arruntentzat, ikusi zero-knowledge FAQ.

Iturriak

Lotutako Artikuluak

Teknikoa

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Teknikoa

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Teknikoa

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.