Bruddet som endret antagelsene om sikkerhet i bedrifts-skyen
LastPass-bruddet i 2022 er ikke primært en historie om passordadministratorer. Det er en historie om hva som skjer når bedrifter stoler på skyleverandører med sine mest sensitive data og den tilliten blir brutt — ikke gjennom uforsiktighet, men gjennom implementeringssvakheter som var usynlige fra utsiden.
LastPass markedsførte null-kunnskap-arkitektur. Arkitekturen var ikke null-kunnskap i praksis. 25 millioner brukere fikk sine krypterte låser eksfiltrert. Bruddet ble først offentliggjort i august 2022 og oppdatert flere ganger gjennom slutten av 2022 ettersom omfanget utvidet seg.
For bedrifter innen helsevesen, finans og juridiske tjenester — sektorer der datalekkasje skaper regulatorisk ansvar — var LastPass-bruddet ikke en isolert hendelse å se på avstand. Det var en forhåndsvisning av et systemisk problem.
Implementeringsdetaljene som betydde noe
Analyse etter bruddet avslørte to kritiske implementeringssvakheter:
Manglende iterasjonsantall: LastPass brukte PBKDF2 for nøkkelutledning. For nyere kontoer brukte de 100,100 iterasjoner — under bransjens anbefaling på 600,000. For eldre kontoer (før 2018 i noen tilfeller) var iterasjonsantallet så lavt som 1 iterasjon. Lavere iterasjonsantall gjør brute-force-angrep på de krypterte låsene beregningsmessig gjennomførbare. Angripere som fikk tak i låser kunne systematisk forsøke å knekke masterpassord.
Metadataeksponering: Mens innholdet i låsen var kryptert, var metadata ikke det. URL-er lagret i passordadministratoren, brukernavn og tjenestenavn var synlige i de eksfiltrerte dataene. Angripere kunne identifisere hvilke tjenester brukerne hadde kontoer hos, noe som muliggjorde målrettet phishing og credential stuffing selv uten å knekke låsekrypteringen.
For innkjøpsteam som vurderer sikkerhetsleverandører for skyen, demonstrerer LastPass-saken at to spørsmål må besvares separat: "Er arkitekturen null-kunnskap?" og "Er implementeringen korrekt?"
Okta-bruddet: Samme måned, en annen mekanisme
I oktober 2023 offentliggjorde Okta at en trusselaktør hadde brukt en stjålet legitimasjon for å få tilgang til Oktas kundestøttesystem. Bruddet eksponerte 600,000+ kundestøtteposter, inkludert filer lastet opp av kunder under støtteinteraksjoner.
Okta er en identitetssikkerhetsplattform. Bruddet var ikke en fundamental arkitektursvikt — det var en svikt i tilgangskontroll i forsyningskjeden. En støtteingeniørs legitimasjon ble kompromittert, og angriperen brukte legitim tilgang for å nå sensitive data.
Kombinasjonen av LastPass og Okta illustrerer de to sviktmodusene som bedrifts-skyleverandører står overfor:
- Arkitektursvikt: null-kunnskapskrav som ikke er genuint implementert
- Tilgangskontrollsvikt: legitime legitimasjoner som fører til uautorisert datatilgang
Null-kunnskap-arkitektur adresserer den første sviktmodusen. Den beskytter ikke mot en bestemt angriper som får tak i legitime legitimasjoner for leverandørens støttesystemer. Men den sikrer at selv en slik angriper ikke kan få tilgang til kundens klartekst — fordi leverandørens støttesystemer aldri har tilgang til dekrypterbare data.
SaaS-sikkerhetshendelser økte med 300% fra 2022 til 2024
Forskning fra AppOmni og Cloud Security Alliance som sporer SaaS-bruddshendelser fra 2022 til 2024 fant en 300% økning i sikkerhetshendelser som påvirker SaaS-plattformer i løpet av denne perioden.
300%-tallet representerer ikke en 300% økning i angriperens sofistikering. Det representerer veksten av SaaS-adopsjon kombinert med angriperens tilpasning: ettersom mer bedriftsdata flyttet til skyplattformer, flyttet angriperne ressurser for å målrette disse plattformene. ROI ved å kompromittere en SaaS-leverandør — å få tilgang til data fra dusinvis eller hundrevis av bedriftskunder samtidig — er betydelig høyere enn å målrette individuelle bedrifter.
For bedrifter som bygde sine vurderingsprosesser for leverandørsikkerhet rundt antagelsen om at skyleverandører er sikre mål, krever dataene fra 2022-2024 en rekalibrering. Antagelsen er feil. SaaS-leverandører er prioriterte mål.
Sjekkliste for revisjon etter LastPass
For bedrifter som revurderer sikkerheten til skyleverandører etter LastPass- og Okta-hendelsene, en praktisk sjekkliste:
Krypteringsimplementering:
- Be om nøkkelutledningsalgoritmen, iterasjonsantall og minneparametere
- Bekreft at iterasjonsantall møter nåværende OWASP-anbefalinger (600,000 PBKDF2-SHA256 minimum, eller tilsvarende Argon2id-parametere)
- Verifiser at nøkkelutledning skjer på klientsiden, ikke på leverandørens servere
Metadata-beskyttelse:
- Spør spesifikt hva metadata som lagres i klartekst sammen med kryptert innhold
- Be om datamodellen som viser hvilke felt som er kryptert og hvilke som er tilgjengelige i bruddscenarier
Tilgangskontroller for støttesystemer:
- Be om dokumentasjon om støtteingeniørens tilgang til kundedata
- Bekreft at støttesystemer ikke kan få tilgang til kundens klartekstdata
Historikk for bruddsvarsler:
- Be om offentliggjøring av alle tidligere sikkerhetshendelser, inkludert de som ikke når offentlige offentliggjøringsgrenseverdier
- Vurder åpenheten og fullstendigheten av tidligere offentliggjøringer
LastPass-bruddet var delvis en svikt i implementeringen og delvis en svikt i åpenheten om implementeringen. Bedrifter som stiller detaljerte spørsmål før valg av leverandør får svar som tillater informert risikovurdering. Bedrifter som aksepterer høynivåkrav — "vi krypterer dataene dine" — arver risikoen for å oppdage implementeringsdetaljer etter et brudd.
Kilder: