anonym.legal

By · Last updated 2026-03-17

Takaisin BlogiinTekninen

LastPass-tietomurto: toimittajaturvallisuuden opetukset

LastPass salasi käyttäjiensä tiedot. Silti holdit exfiltroitiin. Seuraavaksi 600 000+ Okta-tietuetta. SaaS-tietoturvapoikkeamat lisääntyivät 300 % vuodesta 2022 lähtien.

March 17, 20268 min lukuaika
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Tietomurto, joka muutti yrityksen pilviturvallisuusoletukset

Vuoden 2022 LastPass-tietomurto ei ensisijaisesti kerro salasanahallinnasta. Se kertoo siitä, mitä tapahtuu, kun yritykset luottavat pilvipalvelutoimittajiin arkaluonteisimmalla datallaan ja tuo luottamus petetään — ei huolimattomuuden, vaan ulkopuolelta näkymättömien toteutusheikkouksien vuoksi.

LastPass markkinoi nollatieto-arkkitehtuuria. Käytännössä arkkitehtuuri ei ollut nollatieto. 25 miljoonalla käyttäjällä olivat salatut holdinsa exfiltroitu. Tietomurto ilmoitettiin ensimmäisenä elokuussa 2022 ja päivitettiin useita kertoja myöhäissyksyn 2022 aikana laajuuden laajentuessa.

Terveydenhuollon, rahoituksen ja oikeudellisten palvelujen yrityksille — aloille, joissa datan paljastuminen aiheuttaa sääntelyllistä vastuuta — LastPass-tietomurto ei ollut etäinen tapaus. Se oli ennakkovaroitus järjestelmällisestä ongelmasta.

Toteutuksen yksityiskohdat, jotka ratkaisivat

Tietomurron jälkeinen analyysi paljasti kaksi kriittistä toteutusheikkoutta:

Iteraatiomäärän puute: LastPass käytti PBKDF2:ta avainten johtamiseen. Uudemmissa tileissä käytettiin 100 100 iteraatiota — alle toimialan suosituksen 600 000. Vanhemmissa tileissä (joissain tapauksissa ennen vuotta 2018) iteraatiomäärä oli niinkin alhainen kuin 1 iteraatio. Alemmat iteraatiomäärät tekevät raa'an voiman hyökkäykset salattuihin holdeihin laskennallisesti toteuttamiskelpoisiksi. Holdeja saaneet hyökkääjät pystyivät järjestelmällisesti yrittämään pääsalasanojen murtamista.

Metadatan paljastuminen: Vaikka holdin sisältö oli salattu, metadataa ei ollut. Salasanojen hallinnassa tallennetut URL-osoitteet, käyttäjänimet ja palvelunimet olivat nähtävissä exfiltroidussa datassa. Hyökkääjät pystyivät tunnistamaan, millä palveluilla käyttäjillä oli tilejä, mahdollistaen kohdennetun tietojenkalasteluun ja tunnistetietojen täyttöhyökkäyksiin jopa ilman holvin salauksen purkamista.

Hankintatiimien arvioidessa pilviturvallisuustoimittajia LastPass-tapaus osoittaa, että kaksi kysymystä on vastattava erikseen: "Onko arkkitehtuuri nollatieto?" ja "Onko toteutus oikea?"

Okta-tietomurto: sama kuukausi, eri mekanismi

Lokakuussa 2023 Okta ilmoitti uhkatoimijan käyttäneen varastettua tunnistetietoa Oktan asiakastuen järjestelmään pääsyyn. Tietomurto paljasti yli 600 000 asiakastukitietuetta, mukaan lukien asiakkaiden tukivuorovaikutusten aikana lataamat tiedostot.

Okta on identiteettiturvallisuusalusta. Tietomurto ei ollut perustavanlaatuinen arkkitehtuurivirhe — se oli toimitusketjun pääsynhallinnan epäonnistuminen. Tukiinsinööriltä varastettiin tunnistetiedot, ja hyökkääjä käytti laillista pääsyä arkaluonteisen datan saavuttamiseen.

LastPass ja Okta havainnollistavat kaksi epäonnistumistapaa, joita yrityksen pilvipalvelutoimittajat kohtaavat:

  • Arkkitehtuurivirheet: nollatieto-väitteet, jotka eivät ole aidosti toteutettu
  • Pääsynhallinnan virheet: lailliset tunnistetiedot, jotka johtavat luvattomaan datan käyttöön

Nollatieto-arkkitehtuuri käsittelee ensimmäistä epäonnistumistapaa. Se ei suojaa päättäväistä hyökkääjää vastaan, jolla on lailliset tunnistetiedot toimittajan tukijärjestelmiin. Mutta se varmistaa, että edes sellainen hyökkääjä ei pääse käsiksi asiakkaan selkotekstiin — koska toimittajan tukijärjestelmillä ei ole koskaan pääsyä purettavissa olevaan dataan.

SaaS-tietoturvapoikkeamat lisääntyivät 300 % kahdessa vuodessa

Obsidian Securityn SaaS-alustojen tietoturvapoikkeamia vuosina 2022–2024 seuraava tutkimus havaitsi 300 %:n kasvun tietoturvapoikkeamissa tänä aikana.

300 %:n luku ei edusta 300 %:n kasvua hyökkääjien kehittyneisyydessä. Se edustaa SaaS-käyttöönoton kasvua yhdistettynä hyökkääjien sopeutumiseen: organisaatioiden siirtäessä yhä enemmän yritystietoa pilvipalveluihin hyökkääjät siirtyivät kohdistamaan resursseja näihin alustoihin. SaaS-toimittajan vaarantamisen tuotto-investointi-suhde — saamalla pääsyn yhtäaikaisesti kymmenien tai satojen yritysasiakkaiden dataan — on huomattavasti korkeampi kuin yksittäisten yritysten kohdistaminen.

Yrityksille, jotka rakensivat toimittajaturvallisuuden arviointiprosessinsa oletukselle, että pilvipalvelutoimittajat ovat turvallisia kohteita, vuosien 2022–2024 data vaatii uudelleenkalibroinnin. Oletus on väärä. SaaS-toimittajat ovat ensisijaisia kohteita.

Auditointitarkistuslista LastPass-tapauksen jälkeen

Yrityksille, jotka uudelleenarvioivat pilvipalvelutoimittajan turvallisuutta LastPass- ja Okta-tapausten jälkeen, käytännön tarkistuslista:

Salauksen toteutus:

  • Pyydä avainten johtamisalgoritmi, iteraatiomäärä ja muistimääritykset
  • Vahvista, että iteraatiomäärät täyttävät OWASP:n nykyiset suositukset (600 000 PBKDF2-SHA256 tai vastaavat Argon2id-parametrit)
  • Vahvista, että avainten johtaminen tapahtuu asiakaspuolella, ei toimittajan palvelimilla

Metadatan suojaus:

  • Kysy erityisesti, mitä metadataa tallennetaan selkotekstinä salatun sisällön ohella
  • Pyydä datamalli, joka näyttää, mitkä kentät on salattu ja mitkä ovat käytettävissä tietomurtoskenaarioissa

Tukijärjestelmien pääsynhallinta:

  • Pyydä dokumentaatio tukiinsinöörien pääsystä asiakastietoihin
  • Vahvista, että tukijärjestelmillä ei ole pääsyä asiakkaan selkotekstidataan

Tietomurtoilmoitusten historia:

  • Pyydä ilmoitus kaikista aiemmista tietoturvapoikkeamista, mukaan lukien ne, jotka eivät ole saavuttaneet julkisen ilmoittamisen kynnystä
  • Arvioi aiempien ilmoitusten läpinäkyvyys ja kattavuus

LastPass-tietomurto oli osittain toteutuksen epäonnistuminen ja osittain läpinäkyvyyden epäonnistuminen toteutuksesta. Yritykset, jotka esittävät yksityiskohtaisia kysymyksiä ennen toimittajavalinnan tekemistä, saavat vastauksia, jotka mahdollistavat tietoisen riskiarvioinnin. Yritykset, jotka hyväksyvät korkean tason väitteitä — "salaamme tietosi" — perivät riskin toteutuksen yksityiskohtien löytämisestä tietomurron jälkeen.

Lähteet:

Liittyvät Artikkelit

Tekninen

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tekninen

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tekninen

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.