anonym.legal

By · Last updated 2026-03-17

חזרה לבלוגטכני

פרצת LastPass: לקחי אבטחת ספקים

LastPass הצפינה את נתוני המשתמשים. הכספות בכל זאת נחשפו. 600K+ רשומות Okta בעקבות כך. אירועי אבטחת SaaS עלו 300% מ-2022 עד 2024.

March 17, 20268 דקות קריאה
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

האירוע ששינה את אבטחת הענן

מעודכן ל-2026

פרצת LastPass של 2022 אינה עוסקת בעיקרה במנהלי סיסמאות. היא עוסקת באמון. חברות בטחו בספק ענן עם הנתונים שלהן. האמון הזה נשבר. הסיבה הייתה ליקויים נסתרים, לא פזיזות.

LastPass מכרה תכנון של אפס-ידע. בפועל, זה לא היה אפס-ידע. 25 מיליון משתמשים נגנבו הכספות המוצפנות שלהם. ההתקפה נחשפה לראשונה באוגוסט 2022. LastPass עדכנה את גילוייה מספר פעמים. ההיקף המלא הופיע בסוף 2022.

לחברות בבריאות, פיננסים ומשפטים, זה לא היה סיפור חדשות מרוחק. מגזרים אלו ניצבים בפני אחריות ממשית כאשר נתונים דולפים. תיק LastPass היה אות מוקדם לבעיה רחבה יותר.

שני ליקויים שאפשרו את ההתקפה

סקירה לאחר האירוע מצאה שתי חולשות מרכזיות.

הגדרת מפתח חלשה. LastPass השתמשה ב-PBKDF2 לגזירת מפתחות. חשבונות חדשים יותר היו עם 100,100 איטרציות. OWASP ממליצה על 600,000. חשבונות ישנים מסוימים היו עם איטרציה אחת בלבד. פחות איטרציות הופכות התקפות כוח גס למהירות וזולות. תוקפים עם קבצי כספות יכלו לבדוק סיסמאות מאסטר במהירות גבוהה.

מטא-נתונים בטקסט רגיל. תוכן הכספות היה מוצפן. אך מטא-נתונים לא היה. כתובות URL, שמות משתמש ושמות שירות היו גלויים בנתונים הגנובים. תוקפים יכלו לראות באילו שירותים כל משתמש היה בעל חשבונות. זה אפשר פישינג ממוקד ומילוי אישורים. לא היה צורך בפיצוח כספות.

תיק זה מראה מדוע שתי שאלות חייבות להישאל בנפרד. "האם התכנון הוא אפס-ידע?" היא שאלה אחת. "האם הבנייה נכונה?" היא שאלה שונה.

Okta ב-2023: התקפה שונה, אותה תוצאה

באוקטובר 2023 דיווחה Okta על אירוע אבטחה. אישורים גנובים נתנו לתוקף גישה למערכת תמיכת הלקוחות שלה. ההתקפה חשפה 600,000+ רשומות תמיכה. אלו כללו קבצים שהועלו על ידי לקוחות במהלך פגישות תמיכה.

Okta היא פלטפורמת אבטחת זהות. הבעיה לא הייתה פגם בתכנון. זה היה כישלון בקרת גישה. הכניסה של מהנדס תמיכה נגנבה. התוקף השתמש בה כדי להגיע לנתונים רגישים.

LastPass ו-Okta מדגימות שני מסלולים עיקריים לפשרת ספק:

  • כישלונות תכנון — טענות אפס-ידע שלא נבנו נכון
  • כישלונות בקרת גישה — אישורים תקפים שמשמשים להגעה לנתונים שאמורים להיות מוגבלים

תכנון אפס-ידע מונע את הסוג הראשון. הוא אינו עוצר תוקף עם אישורי תמיכה תקפים. אך הוא חוסם אותו תוקף מקריאת נתוני לקוחות. הספק לעולם לא מחזיק תוכן הניתן לפענוח. ראו את סקירת האבטחה והציות שלנו לגבי אופן יישום זה לכלי PII.

אירועי אבטחת SaaS עלו 300% בשנתיים

Obsidian Security מצאה עלייה של 300% באירועי אבטחת פלטפורמת SaaS מ-2022 עד 2024.

זו לא עלייה של 300% ביכולות התוקפים. שתי כוחות הניעו זאת. השימוש ב-SaaS גדל מהר. תוקפים עקבו אחרי הנתונים. פשרת ספק אחת יכולה לחשוף נתונים מעשרות לקוחות בבת אחת. תשלום זה מעדיף התקפות ספק על פני התקפות חברה בודדת.

ארגונים שהניחו שפלטפורמות ענן בטוחות צריכים לעדכן נקודת מבט זו. ספקי SaaS הם כעת יעדים ראשיים.

שאלות לכל ספק ענן

לצוותי רכש ואבטחה, רשימת בדיקה זו מכסה את התחומים המרכזיים.

הגדרת הצפנה:

  • בקשו את אלגוריתם גזירת המפתחות, ספירת איטרציות והגדרות זיכרון.
  • אשרו שספירות איטרציות עומדות במינימום OWASP. זה 600,000 PBKDF2-SHA256 או Argon2id שקול.
  • אמתו שגזירת מפתחות פועלת על המכשיר שלכם, לא על שרתי הספק.

חשיפת מטא-נתונים:

  • שאלו אילו מטא-נתונים מאוחסנים בטקסט רגיל לצד תוכן מוצפן.
  • בקשו מודל נתונים. הוא צריך להראות אילו שדות מוצפנים ואילו גלויים בהתקפה.

גישת תמיכה:

  • שאלו האם צוות תמיכה יכול לגשת לנתוני לקוחות.
  • אשרו שמערכות תמיכה אינן יכולות להגיע לטקסט רגיל של לקוחות.

היסטוריית אירועים:

  • בקשו את כל אירועי האבטחה הקודמים, כולל אלו שמתחת לסף גילוי ציבורי.
  • העריכו עד כמה גילויים קודמים היו מלאים וכנים.

תקרית LastPass הייתה כישלון בנייה וכישלון אמון. ספקים עם תשובות ספציפיות מאפשרים בדיקת סיכון אמיתית. ספקים עם טענות מעורפלות משאירים סיכון נסתר. סיכון זה לרוב מופיע רק לאחר התקפה. ראו את סקירת הציות שלנו להנחיות הערכת ספקים.

anonym.legal משתמשת בארכיטקטורת אפס-ידע לאנונימיזציה של PII. גזירת מפתחות מתרחשת דרך Argon2id בדפדפן או באפליקציית שולחן העבודה שלכם. הצפנה מתרחשת לפני שנתונים עוזבים את המכשיר שלכם. שרתים שומרים רק טקסט מוצפן שהם לא יכולים לפענח. למידע נוסף.

מקורות

מאמרים קשורים

טכני

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

טכני

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

טכני

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.