Az incidens idősorrendje
2022. augusztus: A LastPass bejelent egy incidenst, amely forráskódellopással jár.
2022. december: Második nyilvánosságra hozatal: az ügyfél tárolóadatait ellopták az előző incidens során.
2023. január: A LastPass felfedi, hogy a titkosított tárolók nyitott szöveges metaadatokat tartalmaztak (URL-ek, felhasználónevek szerkezete stb.).
2023-2025: A kriptokölcsönök és digitális tárcák tartói elveszítenek 438 millió dollárt a feltört LastPass tárolókból.
A biztonsági tényező: Miért volt feltörhető
A LastPass a következő biztonsági modellt használta:
Főjelszó → PBKDF2 (100-101 iteráció) → Kulcs levezetés → Tárolótitkosítás
A problémák:
-
Alacsony iterációszám: 100-101 PBKDF2 iteráció ma már megtámadható. A modern GPU-k másodpercenként több milliárd iterációt végeznek.
-
Gyenge főjelszavak: Ha a főjelszó gyenge, az iterációszám nem számít.
-
LastPass tartotta a titkosított adatokat: A tárolókat kiszűrték, és offline szótár-alapú brute-force támadás alá vehette.
Okta: Szállítói incidens kaszkád
Nem sokkal a LastPass-incidens után az Okta, a nagyvállalati hitelesítési platform, bejelentette, hogy 600 000+ ügyfélrekord kompromittálódott.
| Esemény | Hatás |
|---|---|
| Okta szupport rendszer megsértése | Ügyfélszolgálati jegyek kitéve |
| Vállalatok értesítve | 600 000+ rekord |
| Kaszkád hatás | Okta ügyfelek is kompromittálódtak |
A tanulatlan tanulságok
1. tanulság: A szerver-oldali titkosítás nem elegendő
Ha a szállítója tartja a kulcsokat, a titkosítás csak eltolási időt jelent, nem biztonságot.
Ennél jobb megközelítés: Válasszon zéró tudású szállítókat, akik architekturálisan nem tudnak hozzáférni az Ön adataihoz.
2. tanulság: A SaaS-szállítók hozzáférnek a szövetségi adatokhoz
Bár a LastPass tagadta a teljes nyitottságot, a kompromittált metaadatok (URL-ek, felhasználónevek) önmagában értékesek a személyre szabott phishing támadásokhoz.
Ennél jobb megközelítés: Minimalizálja a megosztott adatokat bármely szállítóval, különösen a metaadatokat.
3. tanulság: Az incidenss felfedés csak a jéghegy csúcsa
A LastPass esetén hónapok teltek el a teljes hatókör megértéséig. A Conduent esetén évek.
Ennél jobb megközelítés: Feltételezze, hogy a szállítói incidensek nagyobbak, mint bejelentve.
Az anonym.legal megközelítése a szállítói biztonsági tanulságok alapján
Az anonym.legal arra terveztek, hogy teljesítsen, ha az Ön szállítói ökoszisztémájában incidens következik be:
- Nincs kulcstárolás: A szervereinknek soha nincs hozzáférésük a titkosítási kulcsokhoz
- Ügyféloldali titkosítás: A visszafejtés az Ön eszközén történik
- Minimális metaadat: Nem tárolunk azonosítható metaadatokat az anonimizálási munkamenetekhez
Ha az anonym.legal szerverei kompromittálódnak, a támadók titkosított blobokat kapnak – nem az Ön adatait.
Következtetés
A LastPass-incidens nem egy vállalat hibájáról szólt. Szól a SaaS biztonsági modell alapvető korlátáiról, ahol a szállítók tartják a kulcsokat az ügyfél titkosított adataihoz.
A megoldás strukturális: olyan szállítók, akik architekturálisan nem férhetnek hozzá az ügyfél adataihoz, még ha akarnának sem.