anonym.legal

By · Last updated 2026-03-17

Atpakaļ uz BloguTehniskā

LastPass Pārkāpums: Piegādātāju Drošības Mācības

LastPass šifrēja savu lietotāju datus. Velves tika nozagtas. Sekoja 600 000+ Okta ierakstu. SaaS drošības incidenti pieauga par 300% no 2022. līdz 2024. gadam.

March 17, 20268 min lasīšanai
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incidents, Kas Mainīja Mākoņa Drošību

Atjaunināts 2026. gadam

  1. gada LastPass pārkāpums nav galvenokārt par paroļu pārvaldītājiem. Tas ir par uzticību. Firmas uzticēja mākoņpiegādātājam savus datus. Šī uzticība salūza. Cēlonis bija slēpti trūkumi, nevis neuzmanība.

LastPass pārdeva nulles zināšanu dizainu. Praksē tas nebija nulles zināšanu. 25 miljoniem lietotāju tika nozagtas viņu šifrētās velves. Uzbrukums tika pirmoreiz atklāts 2022. gada augustā. LastPass vairākas reizes pārskatīja savus paziņojumus. Pilnais apmērs parādījās 2022. gada beigās.

Veselības aprūpes, finanšu un juridisko biroju firmām tas nebija tālu ziņu stāsts. Šie sektori saskaras ar reālu atbildību, kad dati noplūst. LastPass lieta bija agrīna plašākas problēmas zīme.

Divi Trūkumi, Kas Iespējoja Uzbrukumu

Pēcincidenta pārskatīšana atklāja divus galvenos vājos punktus.

Vājš atslēgas iestatījums. LastPass izmantoja PBKDF2 atslēgas atvasināšanai. Jaunākiem kontiem bija 100 100 iterācijas. OWASP iesaka 600 000. Dažiem veciem kontiem bija tik maz kā 1 iterācija. Mazāk iterāciju padara brute-force uzbrukumus ātrus un lētus. Uzbrucēji ar velves failiem varēja pārbaudīt galvenās paroles lielā ātrumā.

Vienkāršā teksta metadati. Velves saturs bija šifrēts. Bet metadati nebija. URL, lietotājvārdi un pakalpojumu nosaukumi bija visi redzami nozagtajos datos. Uzbrucēji varēja redzēt, kuriem pakalpojumiem katram lietotājam ir konti. Tas iespējoja mērķtiecīgu pikšķerēšanu un akreditācijas datu pildīšanu. Velves uzlaušana nebija nepieciešama.

Šī lieta parāda, kāpēc divi jautājumi ir jāuzdod atsevišķi. "Vai dizains ir nulles zināšanu?" ir viens jautājums. "Vai izveide ir pareiza?" ir atšķirīgs jautājums.

Okta 2023. gadā: Atšķirīgs Uzbrukums, Viens un Tas Pats Rezultāts

  1. gada oktobrī Okta ziņoja par drošības incidentu. Nozagts akreditācijas dati deva uzbrucējam piekļuvi tā klientu atbalsta sistēmai. Uzbrukums atklāja 600 000+ atbalsta ierakstus. Tie ietvēra failus, ko klienti augšupielādēja atbalsta sesiju laikā.

Okta ir identitātes drošības platforma. Problēma nebija dizaina kļūda. Tā bija piekļuves kontroles kļūme. Atbalsta inženiera pieteikšanās tika nozagta. Uzbrucējs to izmantoja, lai sasniegtu sensitīvus datus.

LastPass un Okta parāda divus galvenos piegādātāja kompromisa ceļus:

  • Dizaina kļūmes - nulles zināšanu prasības, kas nebija pareizi uzceltas
  • Piekļuves kontroles kļūmes - derīgi akreditācijas dati, kas izmantoti, lai sasniegtu datus, kuriem nevajadzētu būt pieejamiem

Nulles zināšanu dizains novērš pirmo veidu. Tas neaptur uzbrucēju ar derīgiem atbalsta akreditācijas datiem. Bet tas bloķē šo uzbrucēju no klientu datu lasīšanas. Piegādātājam nekad nav atšifrējama satura. Skatiet mūsu drošības un atbilstības pārskatu, kā tas attiecas uz PII rīkiem.

SaaS Drošības Notikumi Pieauga par 300% Divos Gados

Obsidian Security konstatēja 300% pieaugumu SaaS platformas drošības notikumos no 2022. līdz 2024. gadam.

Tas nav 300% uzbrucēju prasmju pieaugums. Divi spēki to izraisīja. SaaS lietošana strauji pieauga. Uzbrucēji sekoja datiem. Viens piegādātāja kompromiss var vienlaicīgi atklāt datus no desmitiem klientu. Šis atlīdzinājums dod priekšroku piegādātāju uzbrukumiem pār atsevišķu firmu uzbrukumiem.

Uzņēmumi, kas pieņēma, ka mākoņplatformas ir drošas, ir jāatjaunina šis viedoklis. SaaS piegādātāji tagad ir primārie mērķi.

Jautājumi, Ko Uzdot Jebkuram Mākoņpiegādātājam

Iepirkuma un drošības komandām šis kontrolsaraksts aptver galvenās jomas.

Šifrēšanas iestatījums:

  • Jautājiet atslēgas atvasināšanas algoritmu, iterāciju skaitu un atmiņas iestatījumus.
  • Apstipriniet, ka iterāciju skaits atbilst OWASP minimumiem. Tas ir 600 000 PBKDF2-SHA256 vai ekvivalents Argon2id.
  • Pārbaudiet, ka atslēgas atvasināšana notiek jūsu ierīcē, nevis piegādātāja serveros.

Metadatu atklāšana:

  • Jautājiet, kādi metadati tiek glabāti vienkāršā tekstā blakus šifrētam saturam.
  • Pieprasiet datu modeli. Tam jāparāda, kuri lauki ir šifrēti un kuri ir redzami uzbrukuma gadījumā.

Atbalsta piekļuve:

  • Jautājiet, vai atbalsta darbinieki var piekļūt klientu datiem.
  • Apstipriniet, ka atbalsta sistēmas nevar sasniegt klientu vienkāršo tekstu.

Incidentu vēsture:

  • Jautājiet par visiem iepriekšējiem drošības notikumiem, tostarp tiem, kas zemāk par publiskās atklāšanas sliekšņiem.
  • Novērtējiet, cik pilnīgi un godīgi bija iepriekšējie atklājumi.

LastPass incidents bija izveides kļūme un uzticības kļūme. Piegādātāji ar konkrētām atbildēm ļauj veikt reālu riska pārskatīšanu. Piegādātāji ar neskaidrām prasībām atstāj risku slēptu. Tas risks bieži parādās tikai pēc uzbrukuma. Skatiet mūsu atbilstības pārskatu piegādātāja novērtēšanas norādījumiem.

anonym.legal izmanto nulles zināšanu arhitektūru PII anonimizācijai. Atslēgas atvasināšana notiek caur Argon2id jūsu pārlūkprogrammā vai darbvirsmas lietotnē. Šifrēšana notiek pirms dati atstāj jūsu ierīci. Serveri glabā tikai šifrētu tekstu, kuru tie nevar atšifrēt. Uzziniet vairāk.

Avoti

Saistītie Raksti

Tehniskā

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tehniskā

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tehniskā

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.