anonym.legal
Torna al BlogTecnico

Cosa avrebbe dovuto insegnare la violazione di...

LastPass ha crittografato i dati dei propri utenti. Le casseforti sono state comunque esfiltrate. Oltre 600K record di Okta sono seguiti.

March 17, 20268 min di lettura
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

La violazione che ha cambiato le assunzioni sulla sicurezza cloud delle aziende

La violazione di LastPass del 2022 non è principalmente una storia sui gestori di password. È una storia su cosa succede quando le aziende si fidano dei fornitori cloud con i loro dati più sensibili e quella fiducia viene violata — non per imprudenza, ma per debolezze di implementazione che erano invisibili dall'esterno.

LastPass ha commercializzato un'architettura a conoscenza zero. L'architettura non era a conoscenza zero in pratica. 25 milioni di utenti hanno avuto le loro casseforti crittografate esfiltrate. La violazione è stata divulgata per la prima volta nell'agosto 2022 e aggiornata più volte fino alla fine del 2022 man mano che l'ambito si ampliava.

Per le aziende nei settori della sanità, della finanza e dei servizi legali — settori in cui l'esposizione dei dati crea responsabilità normativa — la violazione di LastPass non è stata un incidente isolato da osservare da lontano. È stata un'anteprima di un problema sistemico.

I dettagli di implementazione che contano

L'analisi post-violazione ha rivelato due debolezze critiche di implementazione:

Deficienza nel conteggio delle iterazioni: LastPass ha utilizzato PBKDF2 per la derivazione delle chiavi. Per i nuovi account, hanno utilizzato 100.100 iterazioni — al di sotto della raccomandazione del settore di 600.000. Per gli account più vecchi (pre-2018 in alcuni casi), il conteggio delle iterazioni era così basso da essere 1 iterazione. Conteggi di iterazione più bassi rendono gli attacchi di forza bruta sulle casseforti crittografate computazionalmente fattibili. Gli aggressori che ottenevano le casseforti potevano tentare sistematicamente di decifrare le password master.

Esposizione dei metadati: Sebbene i contenuti delle casseforti fossero crittografati, i metadati non lo erano. Gli URL memorizzati nel gestore di password, i nomi utente e i nomi dei servizi erano visibili nei dati esfiltrati. Gli aggressori potevano identificare con quali servizi gli utenti avevano account, consentendo phishing mirati e stuffing di credenziali anche senza decifrare la crittografia della cassa.

Per i team di approvvigionamento che valutano i fornitori di sicurezza cloud, il caso LastPass dimostra che due domande devono essere risposte separatamente: "L'architettura è a conoscenza zero?" e "L'implementazione è corretta?"

La violazione di Okta: lo stesso mese, un meccanismo diverso

Nel ottobre 2023, Okta ha rivelato che un attore malevolo aveva utilizzato una credenziale rubata per accedere al sistema di supporto clienti di Okta. La violazione ha esposto oltre 600.000 record di supporto clienti, inclusi file caricati dai clienti durante le interazioni di supporto.

Okta è una piattaforma di sicurezza identitaria. La violazione non è stata un fallimento fondamentale dell'architettura — è stato un fallimento del controllo degli accessi nella catena di fornitura. La credenziale di un ingegnere di supporto è stata compromessa e l'aggressore ha utilizzato l'accesso legittimo per raggiungere dati sensibili.

La combinazione di LastPass e Okta illustra i due modi di fallimento che i fornitori cloud delle aziende affrontano:

  • Fallimenti dell'architettura: affermazioni a conoscenza zero non implementate genuinamente
  • Fallimenti del controllo degli accessi: credenziali legittime che portano ad accesso non autorizzato ai dati

L'architettura a conoscenza zero affronta il primo modo di fallimento. Non protegge contro un aggressore determinato che ottiene credenziali legittime per i sistemi di supporto del fornitore. Ma garantisce che anche un tale aggressore non possa accedere ai dati in chiaro dei clienti — perché i sistemi di supporto del fornitore non hanno mai accesso a dati decrittografabili.

Gli incidenti di sicurezza SaaS sono aumentati del 300% dal 2022 al 2024

La ricerca di AppOmni e Cloud Security Alliance che traccia gli incidenti di violazione SaaS dal 2022 al 2024 ha trovato un aumento del 300% negli incidenti di sicurezza che colpiscono le piattaforme SaaS durante questo periodo.

La cifra del 300% non rappresenta un aumento del 300% nella sofisticazione degli aggressori. Rappresenta la crescita dell'adozione di SaaS combinata con l'adattamento degli aggressori: man mano che più dati aziendali si spostavano su piattaforme cloud, gli aggressori spostavano le risorse per mirare a quelle piattaforme. Il ROI di compromettere un fornitore SaaS — ottenere accesso ai dati di dozzine o centinaia di clienti aziendali simultaneamente — è sostanzialmente più alto rispetto a mirare a singole aziende.

Per le aziende che hanno costruito i loro processi di valutazione della sicurezza dei fornitori attorno all'assunzione che i fornitori cloud siano obiettivi sicuri, i dati del 2022-2024 richiedono una ricalibrazione. L'assunzione è errata. I fornitori SaaS sono obiettivi prioritari.

La checklist di audit dopo LastPass

Per le aziende che stanno rivalutando la sicurezza dei fornitori cloud a seguito degli incidenti di LastPass e Okta, una checklist pratica:

Implementazione della crittografia:

  • Richiedere l'algoritmo di derivazione delle chiavi, il conteggio delle iterazioni e i parametri di memoria
  • Confermare che i conteggi delle iterazioni soddisfino le attuali raccomandazioni OWASP (600.000 PBKDF2-SHA256 minimo, o parametri equivalenti di Argon2id)
  • Verificare che la derivazione delle chiavi avvenga lato client, non sui server del fornitore

Protezione dei metadati:

  • Chiedere specificamente quali metadati sono memorizzati in chiaro insieme ai contenuti crittografati
  • Richiedere il modello dei dati che mostra quali campi sono crittografati e quali sono accessibili in scenari di violazione

Controlli di accesso ai sistemi di supporto:

  • Richiedere documentazione sull'accesso degli ingegneri di supporto ai dati dei clienti
  • Confermare che i sistemi di supporto non possano accedere ai dati in chiaro dei clienti

Storia delle notifiche di violazione:

  • Richiedere la divulgazione di tutti gli incidenti di sicurezza precedenti, inclusi quelli che non hanno raggiunto le soglie di divulgazione pubblica
  • Valutare la trasparenza e la completezza delle divulgazioni precedenti

La violazione di LastPass è stata in parte un fallimento di implementazione e in parte un fallimento di trasparenza riguardo all'implementazione. Le aziende che pongono domande dettagliate prima della selezione del fornitore ricevono risposte che consentono una valutazione informata del rischio. Le aziende che accettano affermazioni di alto livello — "crittografiamo i tuoi dati" — ereditano il rischio di scoprire i dettagli di implementazione dopo una violazione.

Fonti:

Articoli Correlati

Tecnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tecnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tecnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità