वह उल्लंघन जिसने उद्यम क्लाउड सुरक्षा धारणाओं को बदल दिया
LastPass का 2022 का उल्लंघन मुख्य रूप से पासवर्ड प्रबंधकों के बारे में एक कहानी नहीं है। यह एक कहानी है कि जब उद्यम अपने सबसे संवेदनशील डेटा के साथ क्लाउड विक्रेताओं पर भरोसा करते हैं और वह विश्वास उल्लंघित होता है — न कि लापरवाही के माध्यम से बल्कि बाहरी रूप से अदृश्य कार्यान्वयन कमजोरियों के माध्यम से।
LastPass ने शून्य-ज्ञान आर्किटेक्चर का विपणन किया। आर्किटेक्चर वास्तव में शून्य-ज्ञान नहीं था। 25 मिलियन उपयोगकर्ताओं के एन्क्रिप्टेड वॉल्ट्स को निकाल लिया गया। यह उल्लंघन अगस्त 2022 में पहली बार प्रकट हुआ और 2022 के अंत तक कई बार अपडेट किया गया क्योंकि इसका दायरा बढ़ गया।
स्वास्थ्य देखभाल, वित्त और कानूनी सेवाओं में उद्यमों के लिए — ऐसे क्षेत्र जहां डेटा का खुलासा नियामक देनदारी पैदा करता है — LastPass का उल्लंघन एक अलग घटना नहीं थी जिसे दूर से देखा जाए। यह एक प्रणालीगत समस्या का पूर्वावलोकन था।
महत्वपूर्ण कार्यान्वयन विवरण
उल्लंघन के बाद के विश्लेषण ने दो महत्वपूर्ण कार्यान्वयन कमजोरियों को उजागर किया:
आवृत्ति गणना की कमी: LastPass ने कुंजी व्युत्पत्ति के लिए PBKDF2 का उपयोग किया। नए खातों के लिए, उन्होंने 100,100 आवृत्तियों का उपयोग किया — जो उद्योग की सिफारिश 600,000 से नीचे है। पुराने खातों के लिए (कुछ मामलों में 2018 से पहले), आवृत्ति की गणना 1 आवृत्ति तक कम थी। कम आवृत्ति की गणनाएँ एन्क्रिप्टेड वॉल्ट्स पर ब्रूट-फोर्स हमलों को गणनात्मक रूप से संभव बनाती हैं। जो हमलावर वॉल्ट्स प्राप्त करते हैं वे व्यवस्थित रूप से मास्टर पासवर्ड को क्रैक करने का प्रयास कर सकते हैं।
मेटाडेटा का खुलासा: जबकि वॉल्ट की सामग्री एन्क्रिप्टेड थी, मेटाडेटा नहीं था। पासवर्ड प्रबंधक में संग्रहीत URLs, उपयोगकर्ता नाम, और सेवा नाम निकाले गए डेटा में दिखाई दे रहे थे। हमलावर यह पहचान सकते थे कि उपयोगकर्ताओं के पास किन सेवाओं के साथ खाते हैं, जिससे लक्षित फ़िशिंग और क्रेडेंशियल स्टफिंग संभव हो जाती है, भले ही वॉल्ट एन्क्रिप्शन को क्रैक किए बिना।
क्लाउड सुरक्षा विक्रेताओं का मूल्यांकन करने वाली खरीद टीमों के लिए, LastPass का मामला यह दर्शाता है कि दो प्रश्नों का अलग-अलग उत्तर दिया जाना चाहिए: "क्या आर्किटेक्चर शून्य-ज्ञान है?" और "क्या कार्यान्वयन सही है?"
ओक्टा उल्लंघन: उसी महीने, एक अलग तंत्र
अक्टूबर 2023 में, ओक्टा ने खुलासा किया कि एक खतरा अभिनेता ने एक चुराई गई क्रेडेंशियल का उपयोग करके ओक्टा के ग्राहक समर्थन प्रणाली तक पहुंच प्राप्त की। इस उल्लंघन ने 600,000+ ग्राहक समर्थन रिकॉर्ड को उजागर किया, जिसमें ग्राहक समर्थन इंटरैक्शन के दौरान अपलोड की गई फ़ाइलें शामिल थीं।
ओक्टा एक पहचान सुरक्षा मंच है। यह उल्लंघन एक मौलिक आर्किटेक्चर विफलता नहीं थी — यह एक आपूर्ति श्रृंखला पहुंच नियंत्रण विफलता थी। एक समर्थन इंजीनियर की क्रेडेंशियल से समझौता किया गया था, और हमलावर ने संवेदनशील डेटा तक पहुंचने के लिए वैध पहुंच का उपयोग किया।
LastPass और ओक्टा का संयोजन यह दर्शाता है कि उद्यम क्लाउड विक्रेताओं को दो विफलता मोड का सामना करना पड़ता है:
- आर्किटेक्चर विफलताएँ: शून्य-ज्ञान दावे वास्तव में लागू नहीं किए गए
- पहुंच नियंत्रण विफलताएँ: वैध क्रेडेंशियल्स जो अनधिकृत डेटा पहुंच की ओर ले जाती हैं
शून्य-ज्ञान आर्किटेक्चर पहले विफलता मोड को संबोधित करता है। यह एक दृढ़ संकल्पित हमलावर से सुरक्षा नहीं करता जो विक्रेता समर्थन प्रणालियों के लिए वैध क्रेडेंशियल प्राप्त करता है। लेकिन यह सुनिश्चित करता है कि ऐसे हमलावर भी ग्राहक के प्लेनटेक्स्ट तक पहुंच नहीं सकते — क्योंकि विक्रेता के समर्थन प्रणालियों के पास कभी भी डिक्रिप्ट करने योग्य डेटा तक पहुंच नहीं होती।
2022 से 2024 के बीच SaaS सुरक्षा घटनाएँ 300% बढ़ीं
AppOmni और क्लाउड सुरक्षा गठबंधन द्वारा 2022 से 2024 के बीच SaaS उल्लंघन घटनाओं को ट्रैक करने वाले शोध ने इस अवधि के दौरान SaaS प्लेटफार्मों को प्रभावित करने वाली सुरक्षा घटनाओं में 300% की वृद्धि पाई।
300% का आंकड़ा हमलावर की परिष्कार में 300% की वृद्धि का प्रतिनिधित्व नहीं करता है। यह SaaS अपनाने की वृद्धि को दर्शाता है जो हमलावर अनुकूलन के साथ मिलकर है: जैसे-जैसे अधिक उद्यम डेटा क्लाउड प्लेटफार्मों पर गया, हमलावरों ने उन प्लेटफार्मों को लक्षित करने के लिए संसाधनों को स्थानांतरित किया। एक SaaS विक्रेता को समझौता करने का ROI — एक साथ दर्जनों या सैकड़ों उद्यम ग्राहकों के डेटा तक पहुंच प्राप्त करना — व्यक्तिगत उद्यमों को लक्षित करने की तुलना में काफी अधिक है।
उन उद्यमों के लिए जिन्होंने अपने विक्रेता सुरक्षा मूल्यांकन प्रक्रियाओं को इस धारणा के चारों ओर बनाया कि क्लाउड विक्रेता सुरक्षित लक्ष्य हैं, 2022-2024 का डेटा पुनः कैलिब्रेशन की आवश्यकता है। यह धारणा गलत है। SaaS विक्रेता प्राथमिक लक्ष्य हैं।
LastPass के बाद ऑडिट चेकलिस्ट
LastPass और ओक्टा घटनाओं के बाद क्लाउड विक्रेता सुरक्षा का पुनर्मूल्यांकन करने वाले उद्यमों के लिए, एक व्यावहारिक चेकलिस्ट:
एन्क्रिप्शन कार्यान्वयन:
- कुंजी व्युत्पत्ति एल्गोरिदम, आवृत्ति की गणना, और मेमोरी पैरामीटर का अनुरोध करें
- पुष्टि करें कि आवृत्ति की गणनाएँ वर्तमान OWASP सिफारिशों (600,000 PBKDF2-SHA256 न्यूनतम, या समकक्ष Argon2id पैरामीटर) को पूरा करती हैं
- सत्यापित करें कि कुंजी व्युत्पत्ति क्लाइंट-साइड पर होती है, न कि विक्रेता सर्वरों पर
मेटाडेटा सुरक्षा:
- विशेष रूप से पूछें कि एन्क्रिप्टेड सामग्री के साथ कौन सा मेटाडेटा प्लेनटेक्स्ट में संग्रहीत है
- डेटा मॉडल का अनुरोध करें जो दिखाता है कि कौन से फ़ील्ड एन्क्रिप्टेड हैं और कौन से उल्लंघन परिदृश्यों में सुलभ हैं
समर्थन प्रणाली पहुंच नियंत्रण:
- ग्राहक डेटा तक समर्थन इंजीनियर की पहुंच पर दस्तावेज़ का अनुरोध करें
- पुष्टि करें कि समर्थन प्रणालियाँ ग्राहक प्लेनटेक्स्ट डेटा तक पहुंच नहीं सकतीं
उल्लंघन सूचना इतिहास:
- सभी पिछले सुरक्षा घटनाओं का खुलासा करने का अनुरोध करें, जिसमें वे भी शामिल हैं जो सार्वजनिक खुलासा थ्रेशोल्ड तक नहीं पहुंचे
- पिछले खुलासों की पारदर्शिता और पूर्णता का मूल्यांकन करें
LastPass का उल्लंघन आंशिक रूप से कार्यान्वयन की विफलता और आंशिक रूप से कार्यान्वयन के बारे में पारदर्शिता की विफलता था। वे उद्यम जो विक्रेता चयन से पहले विस्तृत प्रश्न पूछते हैं, उन्हें ऐसे उत्तर मिलते हैं जो सूचित जोखिम मूल्यांकन की अनुमति देते हैं। वे उद्यम जो उच्च-स्तरीय दावों को स्वीकार करते हैं — "हम आपके डेटा को एन्क्रिप्ट करते हैं" — उल्लंघन के बाद कार्यान्वयन विवरण खोजने के जोखिम को विरासत में लेते हैं।
स्रोत: