anonym.legal

By · Last updated 2026-03-17

Atgal į BlogąTechninė

LastPass pažeidimas: tiekėjų saugumo pamokos

LastPass šifravo savo vartotojų duomenis. Saugyklos vis tiek buvo išfiltruotos. Sekė daugiau nei 600 000 Okta įrašų. SaaS saugumo incidentai išaugo 300 % nuo 2022 m.

March 17, 20268 min skaityti
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incidentas, pakeitęs debesijos saugumą

Atnaujinta 2026 m.

2022 m. LastPass pažeidimas yra ne tiek apie slaptažodžių tvarkykles. Jis yra apie pasitikėjimą. Firmos pasitikėjo debesijos tiekėju savo duomenimis. Tas pasitikėjimas lūžo. Priežastis buvo paslėpti trūkumai, o ne neatsargumas.

LastPass pardavė nulinių žinių dizainą. Praktiškai jis nebuvo nulinių žinių. 25 mln. vartotojų turėjo savo užšifruotas saugyklas pavogtas. Ataka pirmą kartą buvo atskleista 2022 m. rugpjūtį. LastPass kelis kartus peržiūrėjo savo atskleidimus. Visas mastas paaiškėjo 2022 m. pabaigoje.

Sveikatos priežiūros, finansų ir teisės firmoms tai nebuvo tolima žinia. Šie sektoriai susiduria su realia atsakomybe, kai duomenys nuteka. LastPass byla buvo ankstyvasis platesnės problemos ženklas.

Du trūkumai, leidę atakai

Poincidentinė peržiūra rado du pagrindinius silpnumus.

Silpnas raktų nustatymas. LastPass naudojo PBKDF2 raktų išvedimui. Naujesni paskyros turėjo 100 100 iteracijų. OWASP rekomenduoja 600 000. Kai kurie seni paskyrai turėjo tik 1 iteraciją. Mažiau iteracijų padaro žiaurios jėgos atakas greitas ir pigias. Uzpuolikai su saugyklų failais galėjo testuoti pagrindinius slaptažodžius dideliu greičiu.

Aiškaus teksto metaduomenys. Saugyklų turinys buvo užšifruotas. Tačiau metaduomenys - ne. URL, vartotojų vardai ir paslaugų pavadinimai visi buvo matomi vogtiniuose duomenyse. Uzpuolikai galėjo matyti, kokias paslaugas kiekvienas vartotojas naudoja. Tai leido tikslinį sukčiavimą ir kredencialų stuffing. Saugyklų laužimas nebuvo reikalingas.

Ši byla rodo, kodėl du klausimai turi būti užduodami atskirai. "Ar dizainas yra nulinių žinių?" yra vienas klausimas. "Ar kūrimas yra teisingas?" yra kitas klausimas.

Okta 2023 m.: kita ataka, tas pats rezultatas

2023 m. spalį Okta pranešė apie saugumo incidentą. Pavogtas kredencialas suteikė uzpuolikui prieigą prie jo klientų palaikymo sistemos. Ataka atskleidė daugiau nei 600 000 palaikymo įrašų. Tai apėmė failus, klientų įkeltus per palaikymo seansus.

Okta yra tapatybės saugumo platforma. Problema nebuvo dizaino trūkumas. Tai buvo prieigos kontrolės nesėkmė. Palaikymo inžinieriaus prisijungimas buvo pavogtas. Uzpuolikas jį panaudojo pasiekti jautrius duomenis.

LastPass ir Okta rodo du pagrindinius tiekėjo kompromiso kelius:

  • Dizaino nesėkmės - nulinių žinių teiginiai, kurie nebuvo teisingai sukurti
  • Prieigos kontrolės nesėkmės - galiojantys kredencialai, naudojami pasiekti duomenims, kurių jie neturėtų pasiekti

Nulinių žinių dizainas užkerta kelią pirmajam tipui. Jis nesustabdo uzpuoliko su galiojančiais palaikymo kredencialais. Tačiau jis blokuoja tą uzpuoliką nuo klientų duomenų skaitymo. Tiekėjas niekada nelaiko iššifruojamo turinio. Žiūrėkite mūsų saugumo ir atitikties apžvalgą apie tai, kaip tai taikoma PII įrankiams.

SaaS saugumo įvykiai išaugo 300 % per dvejus metus

Obsidian Security nustatė 300 % augimą SaaS platformų saugumo įvykiuose nuo 2022 iki 2024 m.

Tai nėra 300 % uzpuoliku įgūdžių augimas. Dvi jėgos tai lėmė. SaaS naudojimas greitai augo. Uzpuolikai sekė paskui duomenis. Vienas tiekėjo kompromisas gali atskleisti duomenis iš dešimčių klientų iš karto. Ta nauda skatina tiekėjų atakas prieš vienos firmos atakas.

Įmonės, manusios, kad debesijos platformos yra saugios, turi atnaujinti tą požiūrį. SaaS tiekėjai dabar yra pirminiai taikiniai.

Klausimai, kuriuos reikia užduoti bet kuriam debesijos tiekėjui

Pirkimo ir saugumo komandoms šis sąrašas apima pagrindines sritis.

Šifravimo nustatymas:

  • Prašykite raktų išvedimo algoritmo, iteracijų skaičiaus ir atminties nustatymų.
  • Patvirtinkite, kad iteracijų skaičiai atitinka OWASP minimums. Tai yra 600 000 PBKDF2-SHA256 arba lygiavertis Argon2id.
  • Patikrinkite, kad raktų išvedimas vyksta jūsų įrenginyje, o ne tiekėjo serveriuose.

Metaduomenų atskleidimas:

  • Klauskite, kokie metaduomenys laikomi aiškiu tekstu šalia užšifruoto turinio.
  • Prašykite duomenų modelio. Jis turėtų rodyti, kurie laukai yra užšifruoti ir kurie yra matomi atakos metu.

Palaikymo prieiga:

  • Klauskite, ar palaikymo darbuotojai gali pasiekti klientų duomenis.
  • Patvirtinkite, kad palaikymo sistemos negali pasiekti klientų aiškaus teksto.

Incidentų istorija:

  • Prašykite visų ankstesnių saugumo įvykių, įskaitant tuos, kurie yra žemiau viešo atskleidimo slenksčių.
  • Įvertinkite, kaip išsamūs ir sąžiningi buvo ankstesni atskleidimai.

LastPass incidentas buvo kūrimo nesėkmė ir pasitikėjimo nesėkmė. Tiekėjai su konkrečiais atsakymais leidžia realų rizikos peržiūrą. Tiekėjai su neaiškiais teiginiais palieka riziką paslėptą. Ta rizika dažnai iškyla tik po atakos. Žiūrėkite mūsų atitikties apžvalgą dėl tiekėjo vertinimo gairių.

anonym.legal naudoja nulinių žinių architektūrą PII anonimizavimui. Raktų išvedimas vyksta per Argon2id jūsų naršyklėje ar darbalaukio programoje. Šifravimas vyksta prieš duomenims paliekant jūsų įrenginį. Serveriai saugo tik šifrotekstą, kurio jie negali iššifruoti. Sužinokite daugiau.

Šaltiniai

Susiję Straipsniai

Techninė

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Techninė

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Techninė

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.