anonym.legal

By · Last updated 2026-03-17

Kembali ke BlogTeknis

Pelanggaran LastPass: Pelajaran Keamanan Vendor

LastPass mengenkripsi data pengguna mereka. Vault tetap diekstrak. 600.000+ catatan Okta menyusul. Insiden keamanan SaaS meningkat 300% dari 2022 hingga 2024.

March 17, 20268 menit baca
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Pelanggaran yang Mengubah Asumsi Keamanan Cloud Perusahaan

Pelanggaran LastPass tahun 2022 bukan terutama kisah tentang pengelola kata sandi. Ini adalah kisah tentang apa yang terjadi ketika perusahaan mempercayakan vendor cloud dengan data paling sensitif mereka dan kepercayaan tersebut dilanggar — bukan karena kecerobohan tetapi karena kelemahan implementasi yang tidak terlihat dari luar.

LastPass memasarkan arsitektur zero-knowledge. Arsitektur tersebut dalam praktiknya bukan zero-knowledge. 25 juta pengguna memiliki vault terenkripsi mereka yang diekstrak. Pelanggaran pertama kali diungkapkan pada Agustus 2022 dan diperbarui beberapa kali hingga akhir 2022 saat cakupannya meluas.

Bagi perusahaan di layanan kesehatan, keuangan, dan jasa hukum — sektor di mana paparan data menciptakan kewajiban regulasi — pelanggaran LastPass bukan insiden terisolasi yang harus ditonton dari kejauhan. Ini adalah pratinjau dari masalah sistemik.

Detail Implementasi yang Penting

Analisis pasca-pelanggaran mengungkapkan dua kelemahan implementasi kritis:

Defisiensi jumlah iterasi: LastPass menggunakan PBKDF2 untuk derivasi kunci. Untuk akun yang lebih baru, mereka menggunakan 100.100 iterasi — di bawah rekomendasi industri sebesar 600.000. Untuk akun yang lebih lama (pra-2018 dalam beberapa kasus), jumlah iterasi serendah 1 iterasi. Jumlah iterasi yang lebih rendah membuat serangan brute-force pada vault terenkripsi secara komputasi layak dilakukan. Penyerang yang memperoleh vault dapat secara sistematis mencoba memecahkan kata sandi master.

Paparan metadata: Sementara konten vault dienkripsi, metadata tidak. URL yang disimpan dalam pengelola kata sandi, nama pengguna, dan nama layanan terlihat dalam data yang diekstrak. Penyerang dapat mengidentifikasi layanan mana yang dimiliki pengguna, memungkinkan phishing yang ditargetkan dan credential stuffing bahkan tanpa memecahkan enkripsi vault.

Bagi tim pengadaan yang mengevaluasi vendor keamanan cloud, kasus LastPass menunjukkan bahwa dua pertanyaan harus dijawab secara terpisah: "Apakah arsitekturnya zero-knowledge?" dan "Apakah implementasinya benar?"

Pelanggaran Okta: Bulan yang Sama, Mekanisme yang Berbeda

Pada Oktober 2023, Okta mengungkapkan bahwa seorang pelaku ancaman telah menggunakan kredensial yang dicuri untuk mengakses sistem dukungan pelanggan Okta. Pelanggaran tersebut mengekspos 600.000+ catatan dukungan pelanggan, termasuk file yang diunggah pelanggan selama interaksi dukungan.

Okta adalah platform keamanan identitas. Pelanggaran tersebut bukan kegagalan arsitektur fundamental — melainkan kegagalan kontrol akses rantai pasokan. Kredensial seorang insinyur dukungan dikompromikan, dan penyerang menggunakan akses yang sah untuk mencapai data sensitif.

Kombinasi LastPass dan Okta mengilustrasikan dua mode kegagalan yang dihadapi vendor cloud perusahaan:

  • Kegagalan arsitektur: klaim zero-knowledge yang tidak benar-benar diimplementasikan
  • Kegagalan kontrol akses: kredensial yang sah yang mengarah ke akses data yang tidak sah

Arsitektur zero-knowledge mengatasi mode kegagalan pertama. Ini tidak melindungi dari penyerang yang bertekad yang memperoleh kredensial yang sah untuk sistem dukungan vendor. Namun ini memastikan bahwa bahkan penyerang tersebut pun tidak dapat mengakses plaintext pelanggan — karena sistem dukungan vendor tidak pernah memiliki akses ke data yang dapat didekripsi.

Insiden Keamanan SaaS Meningkat 300% dari 2022 hingga 2024

Penelitian AppOmni dan Cloud Security Alliance yang melacak insiden pelanggaran SaaS dari 2022 hingga 2024 menemukan peningkatan 300% dalam insiden keamanan yang mempengaruhi platform SaaS selama periode ini.

Angka 300% tidak mewakili peningkatan 300% dalam kecanggihan penyerang. Ini mewakili pertumbuhan adopsi SaaS dikombinasikan dengan adaptasi penyerang: ketika lebih banyak data perusahaan berpindah ke platform cloud, penyerang mengalihkan sumber daya untuk menargetkan platform tersebut. ROI dari mengkompromikan vendor SaaS — mendapatkan akses ke data dari puluhan atau ratusan pelanggan perusahaan secara bersamaan — secara substansial lebih tinggi daripada menargetkan perusahaan individual.

Bagi perusahaan yang membangun proses evaluasi keamanan vendor mereka berdasarkan asumsi bahwa vendor cloud adalah target yang aman, data 2022-2024 memerlukan rekalibrasi. Asumsi tersebut salah. Vendor SaaS adalah target prioritas.

Daftar Periksa Audit Setelah LastPass

Bagi perusahaan yang mengevaluasi ulang keamanan vendor cloud setelah insiden LastPass dan Okta, daftar periksa praktis:

Implementasi enkripsi:

  • Minta algoritma derivasi kunci, jumlah iterasi, dan parameter memori
  • Konfirmasi bahwa jumlah iterasi memenuhi rekomendasi OWASP saat ini (minimum 600.000 PBKDF2-SHA256, atau parameter Argon2id yang setara)
  • Verifikasi bahwa derivasi kunci terjadi di sisi klien, bukan di server vendor

Perlindungan metadata:

  • Tanyakan secara spesifik metadata apa yang disimpan dalam plaintext bersama konten terenkripsi
  • Minta model data yang menunjukkan bidang mana yang dienkripsi dan mana yang dapat diakses dalam skenario pelanggaran

Kontrol akses sistem dukungan:

  • Minta dokumentasi tentang akses insinyur dukungan ke data pelanggan
  • Konfirmasi bahwa sistem dukungan tidak dapat mengakses data plaintext pelanggan

Riwayat notifikasi pelanggaran:

  • Minta pengungkapan semua insiden keamanan sebelumnya, termasuk yang tidak mencapai ambang batas pengungkapan publik
  • Evaluasi transparansi dan kelengkapan pengungkapan sebelumnya

Pelanggaran LastPass sebagian merupakan kegagalan implementasi dan sebagian merupakan kegagalan transparansi tentang implementasi tersebut. Perusahaan yang mengajukan pertanyaan terperinci sebelum pemilihan vendor menerima jawaban yang memungkinkan penilaian risiko yang terinformasi. Perusahaan yang menerima klaim tingkat tinggi — "kami mengenkripsi data Anda" — mewarisi risiko menemukan detail implementasi setelah pelanggaran.

Sumber:

Artikel Terkait

Teknis

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Teknis

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Teknis

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Siap untuk melindungi data Anda?

Mulai anonimisasi PII dengan 285+ jenis entitas dalam 48 bahasa.

Mulai Uji Coba GratisLihat Fitur

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.