anonym.legal

By · Last updated 2026-03-17

Tilbake til BloggTeknisk

LastPass-angrepet: Sikkerhetsleksjoner fra leverandører

LastPass krypterte brukernes data. Hvelvene ble likevel stjålet. 600 000+ Okta-poster fulgte. SaaS-sikkerhetshendelser økte 300 % fra 2022 til 2024.

March 17, 20268 min lesing
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Hendelsen som endret skysikkerhet

Oppdatert for 2026

2022-angrepet på LastPass handler ikke primært om passordbehandlere. Det handler om tillit. Firmaer stolte på en skyleverandør med sine data. Den tilliten brast. Årsaken var skjulte feil, ikke uaktsomhet.

LastPass solgte et nullkunnskapsdesign. I praksis var det ikke nullkunnskap. 25 millioner brukere fikk sine krypterte hvelv stjålet. Angrepet ble først offentliggjort i august 2022. LastPass reviderte sine avsløringer flere ganger. Det fulle omfanget fremkom innen slutten av 2022.

For firmaer innen helse, finans og juss var dette ikke en fjern nyhetssak. Disse sektorene møter reelt ansvar når data lekker. LastPass-saken var et tidlig tegn på et bredere problem.

To svakheter som muliggjorde angrepet

Etteranalyse avdekket to nøkkelsvakheter.

Svakt nøkkeloppsett. LastPass brukte PBKDF2 for nøkkelderivering. Nyere kontoer hadde 100 100 iterasjoner. OWASP anbefaler 600 000. Noen gamle kontoer hadde så få som 1 iterasjon. Færre iterasjoner gjør brute-force-angrep raske og billige. Angripere med hvelvfiler kunne teste masterpassord i høy hastighet.

Klartekstmetadata. Hvelvinnhold var kryptert. Men metadata var det ikke. URL-er, brukernavn og tjenestenavn var alle synlige i de stjålne dataene. Angripere kunne se hvilke tjenester hver bruker hadde kontoer hos. Det muliggjorde målrettet phishing og credential stuffing. Ingen hvelvkraking var nødvendig.

Denne saken viser hvorfor to spørsmål må stilles separat. "Er designet nullkunnskap?" er ett spørsmål. "Er implementeringen korrekt?" er et annet spørsmål.

Okta i 2023: Et annet angrep, samme resultat

I oktober 2023 rapporterte Okta en sikkerhetshendelse. En stjålet legitimasjon ga en angriper tilgang til kundestøttesystemet. Angrepet eksponerte 600 000+ støtteposter. Disse inkluderte filer lastet opp av kunder under støttesesjoner.

Okta er en identitetssikkerhetsplattform. Problemet var ikke et designfeil. Det var en tilgangskontrollfeil. En støtteingeniers innlogging ble stjålet. Angriperen brukte den til å nå sensitive data.

LastPass og Okta viser de to hovedveiene til et leverandørkompromiss:

  • Designfeil — nullkunnskapspåstander som ikke ble bygget korrekt
  • Tilgangskontrollfeil — gyldige legitimasjoner brukt til å nå data de ikke burde nå

Nullkunnskapsdesign forhindrer den første typen. Det stopper ikke en angriper med gyldige støttelegitmasjoner. Men det blokkerer den angriperen fra å lese kundedata. Leverandøren holder aldri dekrypterbart innhold. Se vår sikkerhets- og samsvarsside for hvordan dette gjelder PII-verktøy.

SaaS-sikkerhetshendelser steg 300 % på to år

Obsidian Security fant en 300 %-økning i SaaS-plattformsikkerhetshendelser fra 2022 til 2024.

Dette er ikke en 300 %-økning i angripers ferdigheter. To krefter drev det. SaaS-bruk vokste raskt. Angripere fulgte dataene. Ett leverandørkompromiss kan eksponere data fra dusinvis av klienter på én gang. Den belønningen favoriserer leverandørangrep over enkeltfirmaangrep.

Virksomheter som antok at skyplattformer var trygge må oppdatere det synet. SaaS-leverandører er nå primære mål.

Spørsmål å stille enhver skyleverandør

For innkjøps- og sikkerhetsteam dekker denne sjekklisten kjerneområdene.

Krypteringsoppsett:

  • Be om nøkkelderiveringsalgoritmen, iterasjonsantall og minneinnstillinger.
  • Bekreft at iterasjonsantall møter OWASP-minimumene. Det er 600 000 PBKDF2-SHA256 eller tilsvarende Argon2id.
  • Verifiser at nøkkelderivering kjøres på din enhet, ikke på leverandørservere.

Metadataeksponering:

  • Spør hvilke metadata som lagres i klartekst ved siden av kryptert innhold.
  • Be om en datamodell. Den bør vise hvilke felt som er kryptert og hvilke som er synlige i et angrep.

Støttetilgang:

  • Spør om støttepersonale kan få tilgang til kundedata.
  • Bekreft at støttesystemer ikke kan nå kundes klartekst.

Hendelseshistorikk:

  • Be om alle tidligere sikkerhetshendelser, inkludert de under terskelen for offentlig avsløring.
  • Vurder hvor fullstendige og ærlige tidligere avsløringer var.

LastPass-hendelsen var en implementeringsfeil og en tillitssvikt. Leverandører med spesifikke svar muliggjør reell risikovurdering. Leverandører med vage påstander holder risikoen skjult. Den risikoen fremkommer ofte bare etter et angrep. Se vår samsvarsside for veiledning om leverandørevaluering.

anonym.legal bruker nullkunnskapsarkitektur for PII-anonymisering. Nøkkelderivering kjøres via Argon2id i nettleseren eller skrivebordsappen din. Kryptering skjer før data forlater enheten din. Servere lagrer bare chiffertekst de ikke kan dekryptere. Les mer.

Kilder

Relaterte Artikler

Teknisk

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Teknisk

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Teknisk

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.