anonym.legal

By · Last updated 2026-03-17

Torna al BlogTecnico

Violazione LastPass: lezioni sulla sicurezza dei fornitori

LastPass aveva cifrato i dati degli utenti. I vault sono stati comunque esfiltrati. Seguirono 600.000+ record Okta. Gli incidenti di sicurezza SaaS sono aumentati del 300% dal 2022 a oggi.

March 17, 20268 min di lettura
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

L'incidente che ha ridefinito la sicurezza nel cloud

Aggiornato per il 2026

La violazione di LastPass del 2022 non riguarda principalmente i password manager. Riguarda la fiducia. Le aziende si erano affidate a un fornitore cloud con i propri dati. Quella fiducia si è incrinata per colpa di difetti nascosti, non di negligenza.

LastPass vendeva un design zero-knowledge. In pratica, non era zero-knowledge. 25 milioni di utenti hanno avuto i propri vault cifrati sottratti. L'attacco è stato divulgato per la prima volta nell'agosto 2022; LastPass ha rivisto più volte le proprie comunicazioni, e la portata completa è emersa solo verso fine 2022.

Per le aziende in ambito sanitario, finanziario e legale, non si è trattato di una notizia lontana. Questi settori affrontano una responsabilità concreta quando i dati vengono esposti. Il caso LastPass è stato un segnale precoce di un problema più ampio.

Due difetti che hanno reso possibile l'attacco

La revisione post-incidente ha identificato due vulnerabilità chiave.

Configurazione debole della chiave. LastPass utilizzava PBKDF2 per la derivazione delle chiavi. Gli account più recenti avevano 100.100 iterazioni; OWASP ne raccomanda 600.000. Alcuni account più vecchi ne avevano appena 1. Meno iterazioni rendono gli attacchi brute-force rapidi ed economici: con i file dei vault in mano, gli attaccanti potevano testare le master password ad alta velocità.

Metadati in chiaro. Il contenuto dei vault era cifrato — ma i metadati no. URL, nomi utente e nomi dei servizi erano tutti visibili nei dati sottratti. Gli attaccanti potevano vedere quali servizi ciascun utente possedeva, rendendo possibili phishing mirato e credential stuffing senza nemmeno decifrare i vault.

Questo caso dimostra perché due domande devono essere poste separatamente: «Il design è zero-knowledge?» è una domanda. «L'implementazione è corretta?» è una domanda diversa.

Okta nel 2023: un attacco diverso, lo stesso risultato

Nell'ottobre 2023, Okta ha segnalato un incidente di sicurezza. Una credenziale rubata ha consentito a un attaccante di accedere al sistema di supporto clienti, esponendo 600.000+ record di supporto, inclusi file caricati dai clienti durante le sessioni di assistenza.

Okta è una piattaforma di sicurezza delle identità. Il problema non era un difetto di progettazione, ma un fallimento nel controllo degli accessi: le credenziali di un tecnico del supporto erano state rubate e l'attaccante le ha usate per accedere a dati sensibili.

LastPass e Okta mostrano i due principali percorsi verso una compromissione del fornitore:

  • Difetti di progettazione — affermazioni zero-knowledge non costruite correttamente
  • Difetti nel controllo degli accessi — credenziali valide usate per accedere a dati che non avrebbero dovuto essere raggiungibili

Il design zero-knowledge previene il primo tipo — ma non ferma un attaccante con credenziali di supporto valide. Tuttavia, gli impedisce di leggere i dati dei clienti, poiché il fornitore non detiene mai contenuti decifrabili. Consulta la nostra panoramica sulla sicurezza e conformità per sapere come questo si applica agli strumenti PII.

Gli eventi di sicurezza SaaS sono aumentati del 300% in due anni

Obsidian Security ha rilevato un aumento del 300% degli eventi di sicurezza sulle piattaforme SaaS dal 2022 al 2024.

Non si tratta di un aumento del 300% nelle capacità degli attaccanti. Due forze lo hanno guidato: l'uso del SaaS è cresciuto rapidamente e gli attaccanti hanno seguito i dati. Una sola compromissione di un fornitore può esporre dati di decine di clienti contemporaneamente — un incentivo che premia gli attacchi ai fornitori rispetto a quelli alle singole aziende.

Le imprese che davano per scontato che le piattaforme cloud fossero sicure devono aggiornare quella visione: i fornitori SaaS sono oggi obiettivi primari.

Domande da porre a qualsiasi fornitore cloud

Per i team di acquisto e sicurezza, questa checklist copre le aree essenziali.

Configurazione della crittografia:

  • Richiedere l'algoritmo di derivazione delle chiavi, il numero di iterazioni e le impostazioni di memoria.
  • Verificare che i conteggi delle iterazioni soddisfino i minimi OWASP: 600.000 PBKDF2-SHA256 o equivalente Argon2id.
  • Confermare che la derivazione delle chiavi avvenga sul dispositivo dell'utente, non sui server del fornitore.

Esposizione dei metadati:

  • Chiedere quali metadati vengono archiviati in chiaro accanto ai contenuti cifrati.
  • Richiedere un modello dei dati che mostri quali campi sono cifrati e quali sarebbero visibili in caso di attacco.

Accesso del supporto:

  • Chiedere se il personale di supporto può accedere ai dati dei clienti.
  • Confermare che i sistemi di supporto non possano accedere al testo in chiaro dei clienti.

Storia degli incidenti:

  • Richiedere tutti i precedenti eventi di sicurezza, inclusi quelli al di sotto delle soglie di divulgazione pubblica.
  • Valutare la completezza e l'onestà delle comunicazioni precedenti.

L'incidente LastPass è stato un fallimento di implementazione e un fallimento di fiducia. I fornitori che forniscono risposte specifiche consentono una valutazione reale del rischio; quelli con risposte vaghe lasciano il rischio nascosto — un rischio che spesso emerge solo dopo un attacco. Consulta la nostra panoramica sulla conformità per una guida alla valutazione dei fornitori.

anonym.legal utilizza un'architettura zero-knowledge per l'anonimizzazione dei dati PII. La derivazione delle chiavi avviene tramite Argon2id nel browser o nell'app desktop. La crittografia avviene prima che i dati lascino il dispositivo dell'utente. I server conservano solo testo cifrato che non possono decifrare. Per saperne di più.

Fonti

Articoli Correlati

Tecnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tecnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tecnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.