anonym.legal

By · Last updated 2026-03-17

Powrót do blogaTechniczne

Naruszenie LastPass: lekcje bezpieczeństwa od dostawców

LastPass szyfrował dane swoich użytkowników. Sejfy zostały mimo to skradzione. Ponad 600 tys. rekordów Okta poszło w ślad. Incydenty bezpieczeństwa SaaS wzrosły o 300% w latach 2022–2024.

March 17, 20268 min czytania
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incydent, który zmienił bezpieczeństwo w chmurze

Zaktualizowano w 2026 r.

Naruszenie LastPass z 2022 r. nie dotyczy głównie menedżerów haseł. Dotyczy zaufania. Firmy zaufały dostawcy chmury swoimi danymi. To zaufanie zostało złamane. Przyczyną były ukryte wady, nie lekkomyślność.

LastPass sprzedawał projekt zero-knowledge. W praktyce nim nie był. 25 milionów użytkowników miało skradzione zaszyfrowane sejfy. Atak ujawniono po raz pierwszy w sierpniu 2022 r. LastPass kilkakrotnie rewidował swoje komunikaty. Pełny zakres wyłonił się pod koniec 2022 r.

Dla firm z sektora opieki zdrowotnej, finansów i prawa nie była to odległa historia z gazet. Te sektory ponoszą realną odpowiedzialność za wycieki danych. Sprawa LastPass była wczesnym sygnałem szerszego problemu.

Dwie wady, które umożliwiły atak

Przegląd po incydencie ujawnił dwie kluczowe słabości.

Słaba konfiguracja klucza. LastPass używał PBKDF2 do wyprowadzania klucza. Nowsze konta miały 100 100 iteracji. OWASP zaleca 600 000. Niektóre stare konta miały zaledwie 1 iterację. Mniejsza liczba iteracji sprawia, że ataki siłowe są szybkie i tanie. Atakujący posiadający pliki sejfu mogli testować hasła główne z dużą prędkością.

Metadane w postaci jawnej. Zawartość sejfu była zaszyfrowana. Ale metadane nie. Adresy URL, nazwy użytkowników i nazwy usług były widoczne w skradzionych danych. Atakujący mogli zobaczyć, z jakimi usługami każdy użytkownik miał konta. Umożliwiło to ukierunkowany phishing i credential stuffing. Łamanie sejfu nie było wymagane.

Ta sprawa pokazuje, dlaczego dwa pytania muszą być zadawane osobno. „Czy projekt jest zero-knowledge?" to jedno pytanie. „Czy implementacja jest prawidłowa?" to inne pytanie.

Okta w 2023 r.: inny atak, ten sam wynik

W październiku 2023 r. Okta zgłosiła incydent bezpieczeństwa. Skradzione dane uwierzytelniające dały atakującemu dostęp do systemu obsługi klienta. Atak ujawnił ponad 600 000 rekordów obsługi. Obejmowały one pliki przesłane przez klientów podczas sesji wsparcia.

Okta to platforma bezpieczeństwa tożsamości. Problem nie był wadą projektu. Był to błąd kontroli dostępu. Login inżyniera wsparcia został skradziony. Atakujący użył go, aby dotrzeć do wrażliwych danych.

LastPass i Okta pokazują dwie główne ścieżki do kompromisu dostawcy:

  • Awarie projektu — twierdzenia o zerowej wiedzy, które nie zostały prawidłowo zbudowane
  • Awarie kontroli dostępu — prawidłowe dane uwierzytelniające użyte do dotarcia do danych, do których nie powinny mieć dostępu

Projekt zero-knowledge zapobiega pierwszemu typowi. Nie zatrzymuje atakującego z prawidłowymi danymi uwierzytelniającymi wsparcia. Ale blokuje mu odczytanie danych klientów. Dostawca nigdy nie przechowuje treści możliwej do odszyfrowania. Więcej informacji na ten temat znajdziesz w naszym przeglądzie bezpieczeństwa i zgodności.

Incydenty bezpieczeństwa SaaS wzrosły o 300% w dwa lata

Obsidian Security odnotowała 300-procentowy wzrost incydentów bezpieczeństwa na platformach SaaS w latach 2022–2024.

To nie jest wzrost o 300% w umiejętnościach atakujących. Dwie siły go napędzały. Wykorzystanie SaaS gwałtownie wzrosło. Atakujący podążyli za danymi. Jeden kompromis dostawcy może jednocześnie ujawnić dane dziesiątek klientów. Ta opłacalność sprzyja atakom na dostawców, a nie atakom na pojedyncze firmy.

Przedsiębiorstwa, które zakładały, że platformy chmurowe są bezpieczne, muszą zaktualizować ten pogląd. Dostawcy SaaS są teraz głównymi celami.

Pytania do każdego dostawcy chmury

Dla zespołów zakupowych i bezpieczeństwa ta lista kontrolna obejmuje kluczowe obszary.

Konfiguracja szyfrowania:

  • Poproś o algorytm wyprowadzania klucza, liczbę iteracji i ustawienia pamięci.
  • Potwierdź, że liczba iteracji spełnia minimalne wymagania OWASP. To 600 000 PBKDF2-SHA256 lub równoważne Argon2id.
  • Zweryfikuj, że wyprowadzanie klucza odbywa się na Twoim urządzeniu, nie na serwerach dostawcy.

Ekspozycja metadanych:

  • Zapytaj, jakie metadane są przechowywane w postaci jawnej obok zaszyfrowanej treści.
  • Poproś o model danych. Powinien pokazywać, które pola są zaszyfrowane, a które widoczne w przypadku ataku.

Dostęp wsparcia:

  • Zapytaj, czy pracownicy wsparcia mogą uzyskać dostęp do danych klientów.
  • Potwierdź, że systemy wsparcia nie mogą dotrzeć do danych klientów w postaci jawnej.

Historia incydentów:

  • Poproś o wszystkie poprzednie incydenty bezpieczeństwa, w tym te poniżej progów publicznego ujawnienia.
  • Oceń, jak kompletne i uczciwe były poprzednie ujawnienia.

Incydent z LastPass był awarią implementacji i awarią zaufania. Dostawcy z konkretnymi odpowiedziami umożliwiają prawdziwą ocenę ryzyka. Dostawcy z nieokreślonymi twierdzeniami pozostawiają ryzyko ukryte. Ryzyko to często ujawnia się dopiero po ataku. Zapoznaj się z naszym przeglądem zgodności, aby uzyskać wskazówki dotyczące oceny dostawców.

anonym.legal stosuje architekturę zero-knowledge do anonimizacji PII. Wyprowadzanie klucza odbywa się przez Argon2id w Twojej przeglądarce lub aplikacji desktopowej. Szyfrowanie następuje przed opuszczeniem danych przez Twoje urządzenie. Serwery przechowują tylko szyfrogram, którego nie mogą odszyfrować. Dowiedz się więcej.

Źródła

Pokrewne artykuły

Techniczne

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Techniczne

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Techniczne

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.