anonym.legal
Terug naar BlogTechnisch

Wat de LastPass-inbreuk elke onderneming had moeten...

LastPass versleutelde de gegevens van hun gebruikers. De kluizen werden nog steeds geëxfiltreerd. Meer dan 600K Okta-gegevens volgden.

March 17, 20268 min lezen
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

De Inbreuk Die De Aannames Over Beveiliging van Cloudondernemingen Veranderde

De LastPass-inbreuk van 2022 is niet primair een verhaal over wachtwoordbeheerders. Het is een verhaal over wat er gebeurt wanneer ondernemingen cloudleveranciers vertrouwen met hun meest gevoelige gegevens en dat vertrouwen wordt geschonden — niet door roekeloosheid, maar door implementatiewezen die van buitenaf onzichtbaar waren.

LastPass adverteerde met een zero-knowledge-architectuur. De architectuur was in de praktijk geen zero-knowledge. 25 miljoen gebruikers hadden hun versleutelde kluizen geëxfiltreerd. De inbreuk werd voor het eerst bekendgemaakt in augustus 2022 en meerdere keren bijgewerkt tot eind 2022 naarmate de omvang toenam.

Voor ondernemingen in de gezondheidszorg, financiën en juridische diensten — sectoren waar gegevensblootstelling regelgevende aansprakelijkheid creëert — was de LastPass-inbreuk geen geïsoleerd voorval om van een afstand te bekijken. Het was een voorproefje van een systemisch probleem.

De Implementatiedetails Die Ertoe Doen

Analyse na de inbreuk onthulde twee kritieke implementatiewezens:

Iteratietelling tekortkoming: LastPass gebruikte PBKDF2 voor sleutelafleiding. Voor nieuwere accounts gebruikten ze 100.100 iteraties — onder de industrieaanbeveling van 600.000. Voor oudere accounts (voor 2018 in sommige gevallen) was het aantal iteraties zo laag als 1 iteratie. Lagere iteratietellingen maken brute-force-aanvallen op de versleutelde kluizen computationeel haalbaar. Aanvallers die kluizen verkregen, konden systematisch proberen de masterwachtwoorden te kraken.

Metadata blootstelling: Hoewel de inhoud van de kluizen versleuteld was, was metadata dat niet. URL's die in de wachtwoordbeheerder waren opgeslagen, gebruikersnamen en servicenamen waren zichtbaar in de geëxfiltreerde gegevens. Aanvallers konden identificeren met welke diensten gebruikers accounts hadden, wat gerichte phishing en credential stuffing mogelijk maakte, zelfs zonder de versleuteling van de kluis te kraken.

Voor inkoopteams die cloudbeveiligingsleveranciers evalueren, toont de LastPass-zaak aan dat twee vragen afzonderlijk moeten worden beantwoord: "Is de architectuur zero-knowledge?" en "Is de implementatie correct?"

De Okta-inbreuk: Dezelfde Maand, Een Andere Mechanisme

In oktober 2023 maakte Okta bekend dat een bedreigingsactor een gestolen inloggegevens had gebruikt om toegang te krijgen tot het klantenserviceteamsysteem van Okta. De inbreuk blootstelde 600.000+ klantenservicerecords, inclusief bestanden die door klanten tijdens ondersteuningsinteracties waren geüpload.

Okta is een identiteitsbeveiligingsplatform. De inbreuk was geen fundamentele architectuurfout — het was een fout in de toegang tot de toeleveringsketen. De inloggegevens van een ondersteuningsingenieur waren gecompromitteerd, en de aanvaller gebruikte legitieme toegang om gevoelige gegevens te bereiken.

De combinatie van LastPass en Okta illustreert de twee faalmodi waarmee cloudleveranciers voor ondernemingen worden geconfronteerd:

  • Architectuurfouten: zero-knowledge claims die niet oprecht zijn geïmplementeerd
  • Toegangscontrolefouten: legitieme inloggegevens die leiden tot ongeautoriseerde toegang tot gegevens

Zero-knowledge-architectuur adresseert de eerste faalmodus. Het beschermt niet tegen een vastberaden aanvaller die legitieme inloggegevens voor ondersteuningssystemen van leveranciers verkrijgt. Maar het zorgt ervoor dat zelfs zo'n aanvaller geen toegang kan krijgen tot klantgegevens in platte tekst — omdat de ondersteuningssystemen van de leverancier nooit toegang hebben tot ontsleutelde gegevens.

Beveiligingsincidenten bij SaaS Stegen Met 300% Van 2022 Tot 2024

Het onderzoek van AppOmni en de Cloud Security Alliance dat SaaS-inbreukincidenten van 2022 tot 2024 volgde, vond een 300% toename in beveiligingsincidenten die SaaS-platforms tijdens deze periode beïnvloedden.

Het cijfer van 300% vertegenwoordigt geen 300% toename in de verfijning van aanvallers. Het vertegenwoordigt de groei van SaaS-adoptie in combinatie met de aanpassing van aanvallers: naarmate meer bedrijfsgegevens naar cloudplatforms verhuisden, verschoven aanvallers middelen om die platforms te targeten. De ROI van het compromitteren van een SaaS-leverancier — toegang krijgen tot gegevens van tientallen of honderden bedrijfscliënten tegelijkertijd — is aanzienlijk hoger dan het targeten van individuele ondernemingen.

Voor ondernemingen die hun evaluatieprocessen voor leveranciersbeveiliging hebben opgebouwd rond de veronderstelling dat cloudleveranciers veilige doelwitten zijn, vereist de data van 2022-2024 een herkalibratie. De veronderstelling is verkeerd. SaaS-leveranciers zijn prioriteitsdoelen.

De Audit Checklist Na LastPass

Voor ondernemingen die de beveiliging van cloudleveranciers heroverwegen na de LastPass- en Okta-incidenten, een praktische checklist:

Implementatie van versleuteling:

  • Vraag om het algoritme voor sleutelafleiding, het aantal iteraties en de geheugenparameters
  • Bevestig dat het aantal iteraties voldoet aan de huidige OWASP-aanbevelingen (600.000 PBKDF2-SHA256 minimum, of equivalente Argon2id-parameters)
  • Verifieer dat sleutelafleiding client-side plaatsvindt, niet op de servers van de leverancier

Metadata bescherming:

  • Vraag specifiek welke metadata in platte tekst naast versleutelde inhoud is opgeslagen
  • Vraag om het datamodel dat toont welke velden zijn versleuteld en welke toegankelijk zijn in inbreukscenario's

Toegangscontroles voor ondersteuningssystemen:

  • Vraag om documentatie over de toegang van ondersteuningsingenieurs tot klantgegevens
  • Bevestig dat ondersteuningssystemen geen toegang hebben tot klantgegevens in platte tekst

Geschiedenis van inbreukmeldingen:

  • Vraag om openbaarmaking van alle eerdere beveiligingsincidenten, inclusief die welke niet de drempels voor openbare bekendmaking hebben bereikt
  • Evalueer de transparantie en volledigheid van eerdere openbaarmakingen

De LastPass-inbreuk was deels een falen van implementatie en deels een falen van transparantie over de implementatie. Ondernemingen die gedetailleerde vragen stellen voordat ze een leverancier selecteren, ontvangen antwoorden die een geïnformeerde risicobeoordeling mogelijk maken. Ondernemingen die hoge claims accepteren — "wij versleutelen uw gegevens" — erven het risico om implementatiedetails na een inbreuk te ontdekken.

Bronnen:

Gerelateerde Artikelen

Technisch

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technisch

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technisch

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken