Tietomurto, joka muutti yritysten pilviturvallisuusoletuksia
LastPassin tietomurto vuonna 2022 ei ole ensisijaisesti tarina salasanasovelluksista. Se on tarina siitä, mitä tapahtuu, kun yritykset luottavat pilvipalveluntarjoajiin herkimpien tietojensa kanssa ja tämä luottamus rikotaan — ei huolimattomuuden vuoksi, vaan toteutusheikkouksien kautta, jotka olivat näkymättömiä ulkopuolelta.
LastPass markkinoi nollatietotietorakennetta. Rakennetta ei kuitenkaan käytännössä ollut nollatietotietona. 25 miljoonalla käyttäjällä oli salatut holvinsa viety. Tietomurto paljastettiin ensimmäisen kerran elokuussa 2022 ja sitä päivitettiin useita kertoja vuoden 2022 loppuun mennessä, kun laajuus kasvoi.
Terveydenhuollon, rahoituksen ja oikeuspalveluiden yrityksille — aloilla, joilla tietojen paljastuminen luo sääntelyvastuuta — LastPassin tietomurto ei ollut eristyksissä oleva tapaus, jota seurata etäältä. Se oli ennakkoesitys systeemisestä ongelmasta.
Tärkeät toteutustiedot
Tietomurron jälkeinen analyysi paljasti kaksi kriittistä toteutusheikkoutta:
Iteraatioiden puute: LastPass käytti PBKDF2:ta avaimen johdannaisena. Uusille tileille he käyttivät 100,100 iterointia — alle alan suosituksen 600,000. Vanhemmilla tileillä (joissakin tapauksissa ennen vuotta 2018) iterointimäärä oli jopa 1 iteraatio. Alhaisemmat iterointimäärät tekevät bruteforce-hyökkäyksistä salattuihin holveihin laskennallisesti mahdollisia. Hyökkääjät, jotka saivat holvit, voisivat systemaattisesti yrittää murtaa pääsalasanat.
Metatietojen paljastuminen: Vaikka holvin sisällöt olivat salattuja, metatiedot eivät olleet. Salasanasovelluksessa tallennetut URL-osoitteet, käyttäjänimet ja palvelun nimet olivat näkyvissä vietyissä tiedoissa. Hyökkääjät pystyivät tunnistamaan, millä palveluilla käyttäjillä oli tilejä, mikä mahdollisti kohdennetut phishing-hyökkäykset ja tunnistetietojen täyttämisen jopa ilman holvin salauksen murtamista.
Hankintatiimien, jotka arvioivat pilviturvallisuuden tarjoajia, on LastPassin tapaus osoittaa, että kahteen kysymykseen on vastattava erikseen: "Onko arkkitehtuuri nollatietoinen?" ja "Onko toteutus oikea?"
Okta-tietomurto: Sama kuukausi, eri mekanismi
Lokakuussa 2023 Okta paljasti, että uhkaaja oli käyttänyt varastettua tunnusta päästääkseen Okta:n asiakastukijärjestelmään. Tietomurto paljasti 600,000+ asiakastukitietuetta, mukaan lukien asiakkailta tukitilanteissa ladattuja tiedostoja.
Okta on identiteettiturvallisuuspalvelu. Tietomurto ei ollut perustavanlaatuinen arkkitehtuurin epäonnistuminen — se oli toimitusketjun pääsynhallinnan epäonnistuminen. Tukiteknikon tunnus oli vaarantunut, ja hyökkääjä käytti laillista pääsyä päästäkseen herkkiin tietoihin.
LastPassin ja Okta:n yhdistelmä havainnollistaa kahta epäonnistumismoodia, joita yritysten pilvipalveluntarjoajat kohtaavat:
- Arkkitehtuurin epäonnistumiset: nollatietoväitteet, joita ei ole toteutettu aidosti
- Pääsynhallinnan epäonnistumiset: lailliset tunnukset, jotka johtavat valtuuttamattomaan tietojen pääsyyn
Nollatietorakenne käsittelee ensimmäistä epäonnistumismoodia. Se ei suojaa päättäväiseltä hyökkääjältä, joka saa laillisia tunnuksia palveluntarjoajan tukijärjestelmiin. Mutta se varmistaa, että edes tällainen hyökkääjä ei voi päästä käsiksi asiakastietoon — koska palveluntarjoajan tukijärjestelmillä ei ole koskaan pääsyä salattaviin tietoihin.
SaaS-turvallisuustapaukset lisääntyivät 300 % vuosina 2022–2024
AppOmni ja Cloud Security Alliance -tutkimus, joka seuraa SaaS-tietomurtotapauksia vuosina 2022–2024, havaitsi 300 %:n kasvun turvallisuustapauksissa, jotka vaikuttavat SaaS-alustoihin tänä aikana.
300 %:n luku ei edusta 300 %:n kasvua hyökkääjien kehittyneisyydessä. Se edustaa SaaS:n käyttöönoton kasvua yhdistettynä hyökkääjien sopeutumiseen: kun yhä enemmän yritystietoja siirtyi pilvialustoille, hyökkääjät siirsivät resurssejaan kohdistamaan näitä alustoja. SaaS-palveluntarjoajan vaarantamisen ROI — pääsy tietoihin kymmeniltä tai sadoilta yritysasiakkailta samanaikaisesti — on huomattavasti korkeampi kuin yksittäisten yritysten kohdistaminen.
Yrityksille, jotka rakensivat palveluntarjoajien turvallisuuden arviointiprosessit olettamalle, että pilvipalveluntarjoajat ovat turvallisia kohteita, vuosien 2022–2024 tiedot vaativat uudelleenarviointia. Oletus on väärä. SaaS-palveluntarjoajat ovat ensisijaisia kohteita.
Tarkistuslista LastPassin jälkeen
Yrityksille, jotka arvioivat pilvipalveluntarjoajien turvallisuutta LastPassin ja Okta-tapausten jälkeen, käytännöllinen tarkistuslista:
Salauksen toteutus:
- Pyydä avaimen johdannaisalgoritmia, iterointimäärää ja muistiparametreja
- Vahvista, että iterointimäärät täyttävät nykyiset OWASP-suositukset (600,000 PBKDF2-SHA256 vähimmäisvaatimus tai vastaavat Argon2id-parametrit)
- Varmista, että avaimen johdannaisprosessi tapahtuu asiakaspuolella, ei palveluntarjoajan palvelimilla
Metatietojen suojaus:
- Kysy erityisesti, mitä metatietoja tallennetaan selkokielisen sisällön rinnalla
- Pyydä tietomallia, joka näyttää, mitkä kentät ovat salattuja ja mitkä ovat saatavilla tietomurtotilanteissa
Tukijärjestelmän pääsynhallinta:
- Pyydä asiakirjoja tukiteknikon pääsystä asiakastietoihin
- Vahvista, että tukijärjestelmät eivät voi päästä käsiksi asiakastietoihin
Tietomurtotiedotuksen historia:
- Pyydä tietoa kaikista aikaisemmista turvallisuustapauksista, mukaan lukien ne, jotka eivät saavuttaneet julkisen ilmoituksen kynnystä
- Arvioi aikaisempien ilmoitusten läpinäkyvyys ja täydellisyys
LastPassin tietomurto oli osittain toteutuksen epäonnistuminen ja osittain läpinäkyvyyden epäonnistuminen toteutuksesta. Yritykset, jotka esittävät yksityiskohtaisia kysymyksiä ennen palveluntarjoajan valintaa, saavat vastauksia, jotka mahdollistavat tietoon perustuvan riskinarvioinnin. Yritykset, jotka hyväksyvät korkeatasoisia väitteitä — "me salakirjoitamme tietosi" — perivät riskin toteutustietojen löytämisestä tietomurron jälkeen.
Lähteet: