anonym.legal
Voltar ao BlogTécnico

O que a Violação do LastPass Deveria Ter Ensinado a...

O LastPass criptografou os dados de seus usuários. Os cofres ainda foram exfiltrados. Mais de 600 mil registros da Okta seguiram.

March 17, 20268 min de leitura
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

A Violação Que Mudou as Suposições de Segurança em Nuvem das Empresas

A violação do LastPass em 2022 não é principalmente uma história sobre gerenciadores de senhas. É uma história sobre o que acontece quando as empresas confiam em fornecedores de nuvem com seus dados mais sensíveis e essa confiança é violada — não por imprudência, mas por fraquezas de implementação que eram invisíveis do lado de fora.

O LastPass comercializou uma arquitetura de conhecimento zero. A arquitetura não era de conhecimento zero na prática. 25 milhões de usuários tiveram seus cofres criptografados exfiltrados. A violação foi divulgada pela primeira vez em agosto de 2022 e atualizada várias vezes até o final de 2022 à medida que o escopo se expandia.

Para empresas nos setores de saúde, finanças e serviços jurídicos — setores onde a exposição de dados cria responsabilidade regulatória — a violação do LastPass não foi um incidente isolado para ser observado à distância. Foi uma prévia de um problema sistêmico.

Os Detalhes de Implementação Que Importaram

A análise pós-violação revelou duas fraquezas críticas de implementação:

Deficiência na contagem de iterações: O LastPass usou PBKDF2 para derivação de chaves. Para contas mais novas, eles usaram 100.100 iterações — abaixo da recomendação da indústria de 600.000. Para contas mais antigas (pré-2018 em alguns casos), a contagem de iterações era tão baixa quanto 1 iteração. Contagens de iterações mais baixas tornam ataques de força bruta aos cofres criptografados computacionalmente viáveis. Atacantes que obtiveram os cofres poderiam tentar sistematicamente quebrar as senhas mestras.

Exposição de metadados: Embora o conteúdo dos cofres estivesse criptografado, os metadados não estavam. URLs armazenadas no gerenciador de senhas, nomes de usuários e nomes de serviços eram visíveis nos dados exfiltrados. Atacantes poderiam identificar quais serviços os usuários tinham contas, permitindo phishing direcionado e preenchimento de credenciais mesmo sem quebrar a criptografia do cofre.

Para equipes de compras que avaliam fornecedores de segurança em nuvem, o caso do LastPass demonstra que duas perguntas devem ser respondidas separadamente: "A arquitetura é de conhecimento zero?" e "A implementação está correta?"

A Violação da Okta: O Mesmo Mês, Um Mecanismo Diferente

Em outubro de 2023, a Okta divulgou que um ator de ameaça havia usado uma credencial roubada para acessar o sistema de suporte ao cliente da Okta. A violação expôs mais de 600.000 registros de suporte ao cliente, incluindo arquivos enviados por clientes durante interações de suporte.

A Okta é uma plataforma de segurança de identidade. A violação não foi uma falha fundamental da arquitetura — foi uma falha de controle de acesso na cadeia de suprimentos. A credencial de um engenheiro de suporte foi comprometida, e o atacante usou acesso legítimo para acessar dados sensíveis.

A combinação de LastPass e Okta ilustra os dois modos de falha que os fornecedores de nuvem enfrentam:

  • Falhas de arquitetura: alegações de conhecimento zero não implementadas genuinamente
  • Falhas de controle de acesso: credenciais legítimas levando a acesso não autorizado a dados

A arquitetura de conhecimento zero aborda o primeiro modo de falha. Ela não protege contra um atacante determinado que obtém credenciais legítimas para sistemas de suporte do fornecedor. Mas garante que mesmo tal atacante não pode acessar dados em texto claro do cliente — porque os sistemas de suporte do fornecedor nunca têm acesso a dados que podem ser descriptografados.

Incidentes de Segurança em SaaS Aumentaram 300% de 2022 a 2024

A pesquisa da AppOmni e da Cloud Security Alliance que rastreia incidentes de violação de SaaS de 2022 a 2024 encontrou um aumento de 300% nos incidentes de segurança que afetam plataformas SaaS durante esse período.

O número de 300% não representa um aumento de 300% na sofisticação dos atacantes. Ele representa o crescimento da adoção de SaaS combinado com a adaptação dos atacantes: à medida que mais dados empresariais se mudaram para plataformas em nuvem, os atacantes deslocaram recursos para atingir essas plataformas. O ROI de comprometer um fornecedor de SaaS — ganhando acesso a dados de dezenas ou centenas de clientes empresariais simultaneamente — é substancialmente maior do que o de atacar empresas individuais.

Para empresas que construíram seus processos de avaliação de segurança de fornecedores em torno da suposição de que os fornecedores de nuvem são alvos seguros, os dados de 2022-2024 exigem uma recalibração. A suposição está errada. Fornecedores de SaaS são alvos prioritários.

A Lista de Verificação de Auditoria Após o LastPass

Para empresas que estão reavaliando a segurança de fornecedores em nuvem após os incidentes do LastPass e da Okta, uma lista de verificação prática:

Implementação de criptografia:

  • Solicitar o algoritmo de derivação de chaves, contagem de iterações e parâmetros de memória
  • Confirmar que as contagens de iterações atendem às recomendações atuais da OWASP (600.000 PBKDF2-SHA256 no mínimo, ou parâmetros equivalentes do Argon2id)
  • Verificar que a derivação de chaves ocorre do lado do cliente, não nos servidores do fornecedor

Proteção de metadados:

  • Perguntar especificamente quais metadados são armazenados em texto claro ao lado do conteúdo criptografado
  • Solicitar o modelo de dados mostrando quais campos são criptografados e quais são acessíveis em cenários de violação

Controles de acesso ao sistema de suporte:

  • Solicitar documentação sobre o acesso do engenheiro de suporte aos dados do cliente
  • Confirmar que os sistemas de suporte não podem acessar dados em texto claro do cliente

Histórico de notificações de violação:

  • Solicitar a divulgação de todos os incidentes de segurança anteriores, incluindo aqueles que não atingiram os limites de divulgação pública
  • Avaliar a transparência e a completude das divulgações anteriores

A violação do LastPass foi em parte uma falha de implementação e em parte uma falha de transparência sobre a implementação. Empresas que fazem perguntas detalhadas antes da seleção de fornecedores recebem respostas que permitem uma avaliação de risco informada. Empresas que aceitam alegações de alto nível — "nós criptografamos seus dados" — herdam o risco de descobrir detalhes de implementação após uma violação.

Fontes:

Artigos Relacionados

Técnico

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Técnico

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Técnico

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos