anonym.legal

By · Last updated 2026-03-17

Vissza a BlograTechnikai

A LastPass-adatvédelmi incidens: tanulságok a felhőszolgáltatók biztonságáról

A LastPass titkosította felhasználóinak adatait. A tárcákat mégis kiszivárogtatták. 600 000+ Okta-rekord követte. A SaaS-biztonsági incidensek száma 300%-kal nőtt 2022 és 2024 között.

March 17, 20268 perc olvasás
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Az incidens, amely megváltoztatta a felhőbiztonságot

2026-ra frissítve

A 2022-es LastPass-adatvédelmi incidens nem elsősorban a jelszókezelőkről szól. A bizalomról szól. Az irodák felhőszolgáltatóra bízták adataikat. Ez a bizalom megtört. Az ok rejtett hibák voltak, nem gondatlanság.

A LastPass zéró-tudás tervezést értékesített. A gyakorlatban ez nem volt zéró-tudás. 25 millió felhasználó titkosított tárcáját lopták el. A támadást először 2022 augusztusában hozták nyilvánosságra. A LastPass többször felülvizsgálta tájékoztatásait. A teljes mértéke 2022 végére derült ki.

Az egészségügyi, pénzügyi és jogi területen tevékenykedő irodák számára ez nem volt egy távoli hírtörténet. Ezek a szektorok valós felelősséggel szembesülnek, ha adatok szivárognak ki. A LastPass-eset egy szélesebb körű probléma korai jele volt.

Két hiba, amely lehetővé tette a támadást

Az incidens utáni elemzés két kulcsfontosságú gyengeséget tárt fel.

Gyenge kulcsbeállítás. A LastPass PBKDF2-t alkalmazott a kulcslevezetéshez. Az újabb fiókok 100 100 iterációt kaptak. Az OWASP 600 000-t ajánl. Néhány régi fióknak mindössze 1 iterációja volt. Kevesebb iteráció gyorssá és olcsóvá teszi a brute-force támadásokat. A tárcafájlokkal rendelkező támadók nagy sebességgel tesztelhették a mesterjelszavakat.

Tiszta szöveges metaadatok. A tárca tartalma titkosítva volt. A metaadatok viszont nem. Az URL-ek, felhasználónevek és szolgáltatásnevek mind láthatók voltak az ellopott adatokban. A támadók láthatták, melyik felhasználónak milyen szolgáltatásoknál volt fiókja. Ez célzott adathalászatot és hitelesítő adatok kitömését tette lehetővé. Nem volt szükség a tárca feltörésére.

Ez az eset megmutatja, miért kell két kérdést külön-külön feltenni. „A tervezés zéró-tudás?” ez az egyik kérdés. „A megvalósítás helyes?” ez egy másik kérdés.

Okta 2023-ban: eltérő támadás, ugyanolyan eredmény

2023 októberében az Okta biztonsági incidenst jelentett be. Egy ellopott hitelesítő adat hozzáférést biztosított egy támadónak az ügyfél-támogatási rendszeréhez. A támadás több mint 600 000 támogatási nyilvántartást tett kitéve. Ezek magukban foglaltak a felhasználók által a támogatási munkamenetek során feltöltött fájlokat.

Az Okta egy identitásbiztonsági platform. A probléma nem tervezési hiba volt. Hozzáférés-vezérlési hiba volt. Egy támogatási mérnök bejelentkezési adatait ellopták. A támadó ezeket felhasználta érzékeny adatok eléréséhez.

A LastPass és az Okta megmutatja a szolgáltatói kompromittálódás két fő útját:

  • Tervezési hibák – zéró-tudás állítások, amelyek nem valósultak meg helyesen
  • Hozzáférés-vezérlési hibák – érvényes hitelesítő adatok felhasználása olyan adatok eléréséhez, amelyeket nem kellene elérniük

A zéró-tudás tervezés megakadályozza az első típust. Nem állít meg egy érvényes támogatási hitelesítő adatokkal rendelkező támadót. De megakadályozza, hogy az ügyfél adatait olvassa el. A szolgáltató soha nem tárol visszafejthető tartalmat. Lásd a biztonsági és megfelelőségi áttekintőnket, hogy ez hogyan vonatkozik a személyes adatok kezelésére szolgáló eszközökre.

A SaaS-biztonsági események 300%-kal nőttek két év alatt

Az Obsidian Security 300%-os növekedést talált a SaaS-platform biztonsági eseményeiben 2022 és 2024 között.

Ez nem a támadói készségek 300%-os növekedése. Két erő hajtotta ezt. A SaaS-használat gyorsan nőtt. A támadók követték az adatokat. Egyetlen szolgáltatói kompromittálódás egyszerre teheti kitéve tucatnyi ügyfél adatait. Ez a kifizetés kedvez a szolgáltatókat célzó támadásoknak az egyes cégek elleni támadásokkal szemben.

Azoknak a vállalatoknak, amelyek úgy gondolták, hogy a felhőplatformok biztonságosak, frissíteniük kell ezt az álláspontot. A SaaS-szolgáltatók ma már elsődleges célpontok.

Kérdések, amelyeket bármely felhőszolgáltatónak fel kell tenni

A vásárlási és biztonsági csapatok számára ez az ellenőrzőlista fedi le az alapvető területeket.

Titkosítási beállítás:

  • Kérje a kulcslevezetési algoritmust, iterációszámot és memóriabeállításokat.
  • Erősítse meg, hogy az iterációszámok megfelelnek az OWASP minimumoknak. Ez 600 000 PBKDF2-SHA256 vagy azzal egyenértékű Argon2id.
  • Ellenőrizze, hogy a kulcslevezetés az Ön eszközén történik-e, nem a szolgáltató szerverein.

Metaadat-kitettség:

  • Kérdezze meg, milyen metaadatokat tárolnak tiszta szöveges formában a titkosított tartalom mellett.
  • Kérjen adatmodellt. Meg kell mutatnia, mely mezők titkosítottak és melyek láthatók egy támadás esetén.

Támogatási hozzáférés:

  • Kérdezze meg, hogy a támogatási munkatársak hozzáférhetnek-e az ügyféladatokhoz.
  • Erősítse meg, hogy a támogatási rendszerek nem érhetik el az ügyféli tiszta szöveget.

Incidenstörténet:

  • Kérjen tájékoztatást minden korábbi biztonsági eseményről, beleértve a nyilvános közzételi küszöbök alatti eseményeket is.
  • Értékelje, mennyire teljes és őszinte volt a korábbi tájékoztatás.

A LastPass-incidens megvalósítási hiba és bizalomhiba volt. A konkrét válaszokat adó szolgáltatók lehetővé teszik a valódi kockázatelemzést. A homályos állításokat adó szolgáltatók rejtve hagyják a kockázatot. Ez a kockázat gyakran csak egy támadás után kerül felszínre. A szolgáltató kiértékelési útmutatásért lásd a megfelelőségi áttekintőnket.

Az anonym.legal zéró-tudás architektúrát alkalmaz a személyes adatok anonimizálásához. A kulcslevezetés Argon2id segítségével a böngészőjében vagy asztali alkalmazásában történik. A titkosítás azelőtt történik, hogy az adatok elhagyják az eszközét. A szerverek csak olyan titkosított adatokat tárolnak, amelyeket nem tudnak visszafejteni. Tudjon meg többet.

Források

Kapcsolódó Cikkek

Technikai

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technikai

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technikai

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.