Breșa care a schimbat presupunerile întreprinderilor despre securitatea cloud
Breșa LastPass din 2022 nu este în primul rând o poveste despre managerii de parole. Este o poveste despre ceea ce se întâmplă atunci când întreprinderile încredințează furnizorilor cloud datele lor cele mai sensibile și acea încredere este încălcată — nu prin neglijență, ci prin slăbiciuni de implementare care au fost invizibile din exterior.
LastPass a promovat arhitectura zero-knowledge. Arhitectura nu era zero-knowledge în practică. 25 de milioane de utilizatori au avut seifurile lor criptate exfiltrate. Breșa a fost dezvăluită pentru prima dată în august 2022 și actualizată de mai multe ori până la sfârșitul anului 2022, pe măsură ce domeniul de aplicare s-a extins.
Pentru întreprinderile din sectoarele sănătății, finanțelor și serviciilor juridice — sectoare în care expunerea datelor creează responsabilitate de reglementare — breșa LastPass nu a fost un incident izolat de urmărit de la distanță. A fost o previzualizare a unei probleme sistemice.
Detaliile de implementare care au contat
Analiza post-breșă a dezvăluit două slăbiciuni critice de implementare:
Deficiență în numărul de iterații: LastPass a folosit PBKDF2 pentru derivarea cheilor. Pentru conturile mai noi, au folosit 100.100 iterații — sub recomandarea industriei de 600.000. Pentru conturile mai vechi (pre-2018 în unele cazuri), numărul de iterații era cât de jos ca 1 iterație. Numerele mai mici de iterații fac atacurile de forță brută asupra seifurilor criptate computațional fezabile. Atacatorii care au obținut seifuri ar putea încerca sistematic să spargă parolele principale.
Expunerea metadatelor: Deși conținutul seifului era criptat, metadatele nu erau. URL-urile stocate în managerul de parole, numele de utilizator și numele serviciilor erau vizibile în datele exfiltrate. Atacatorii ar putea identifica ce servicii aveau utilizatorii conturi, permițând phishing țintit și credential stuffing chiar și fără a sparge criptarea seifului.
Pentru echipele de achiziții care evaluează furnizori de securitate cloud, cazul LastPass demonstrează că două întrebări trebuie răspunse separat: "Este arhitectura zero-knowledge?" și "Este implementarea corectă?"
Breșa Okta: Aceeași lună, un mecanism diferit
În octombrie 2023, Okta a dezvăluit că un actor amenință a folosit o acreditare furată pentru a accesa sistemul de asistență pentru clienți al Okta. Breșa a expus 600.000+ înregistrări de asistență pentru clienți, inclusiv fișiere încărcate de clienți în timpul interacțiunilor de asistență.
Okta este o platformă de securitate a identității. Breșa nu a fost o defecțiune fundamentală a arhitecturii — a fost o defecțiune a controlului accesului lanțului de aprovizionare. Acreditarea unui inginer de asistență a fost compromisă, iar atacatorul a folosit acces legitim pentru a ajunge la date sensibile.
Combinația LastPass și Okta ilustrează cele două moduri de defecțiune pe care le întâmpină furnizorii cloud de întreprindere:
- Defecțiuni de arhitectură: revendicări zero-knowledge nu sunt cu adevărat implementate
- Defecțiuni de control al accesului: acreditări legitime conducând la acces neautorizat la date
Arhitectura zero-knowledge abordează primul mod de defecțiune. Nu protejează împotriva unui atacator determinat care obține acreditări legitime pentru sistemele de asistență ale furnizorului. Dar asigură că chiar și un astfel de atacator nu poate accesa plaintext-ul clientului — deoarece sistemele de asistență ale furnizorului nu au niciodată acces la date decriptabile.
Incidentele de securitate SaaS au crescut cu 300% din 2022 la 2024
Cercetarea AppOmni și Cloud Security Alliance care urmărește incidentele de breșă SaaS din 2022 la 2024 a găsit o creștere de 300% în incidentele de securitate care afectează platformele SaaS în această perioadă.
Cifra de 300% nu reprezintă o creștere de 300% în sofisticarea atacatorului. Reprezintă creșterea adoptării SaaS combinată cu adaptarea atacatorului: pe măsură ce mai multe date de întreprindere s-au mutat pe platformele cloud, atacatorii și-au deplasat resursele pentru a ținti acele platforme. ROI-ul compromiterii unui furnizor SaaS — obținerea accesului la date de la zeci sau sute de clienți de întreprindere simultan — este substanțial mai mare decât țintirea întreprinderilor individuale.
Pentru întreprinderile care și-au construit procesele de evaluare a securității furnizorilor în jurul presupunerii că furnizorii cloud sunt ținte sigure, datele din 2022-2024 necesită o recalibrare. Presupunerea este greșită. Furnizorii SaaS sunt ținte prioritare.
Lista de verificare a auditului după LastPass
Pentru întreprinderile care reevaluează securitatea furnizorilor cloud după incidentele LastPass și Okta, o listă de verificare practică:
Implementarea criptării:
- Solicitați algoritmul de derivare a cheilor, numărul de iterații și parametrii de memorie
- Confirmați că numerele de iterații îndeplinesc recomandările OWASP actuale (minim 600.000 PBKDF2-SHA256, sau parametri Argon2id echivalenți)
- Verificați că derivarea cheilor apare pe partea client, nu pe serverele furnizorului
Protecția metadatelor:
- Întrebați în mod specific ce metadate sunt stocate în plaintext alături de conținut criptat
- Solicitați modelul de date care arată care câmpuri sunt criptate și care sunt accesibile în scenarii de breșă
Controlul accesului la sistemul de asistență:
- Solicitați documentație privind accesul inginerului de asistență la datele clientului
- Confirmați că sistemele de asistență nu pot accesa datele plaintext ale clientului
Istoricul notificării de breșă:
- Solicitați dezvăluirea tuturor incidentelor de securitate anterioare, inclusiv a celor care nu au atins pragurile de dezvăluire publică
- Evaluați transparența și completitudinea dezvăluirilor anterioare
Breșa LastPass a fost parțial o defecțiune de implementare și parțial o defecțiune de transparență cu privire la implementare. Întreprinderile care pun întrebări detaliate înainte de selectarea furnizorului primesc răspunsuri care permit evaluarea riscului informat. Întreprinderile care acceptă revendicări de nivel înalt — "criptăm datele dvs." — moștenesc riscul de a descoperi detaliile de implementare după o breșă.
Surse: