anonym.legal

By · Last updated 2026-03-17

Înapoi la BlogTehnic

Breșa LastPass: Lecții de securitate pentru furnizori

LastPass și-a criptat datele utilizatorilor. Seifurile au fost totuși exfiltrate. Au urmat 600.000+ de înregistrări Okta. Incidentele de securitate SaaS au crescut cu 300% din 2022 până în 2024. Iată ce trebuie să verifice fiecare echipă de achiziții.

March 17, 20268 min citire
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incidentul Care a Schimbat Securitatea Cloud

Actualizat pentru 2026

Breșa LastPass din 2022 nu este în principal despre managerii de parole. Este despre încredere. Firmele au acordat încredere unui furnizor cloud cu datele lor. Acea încredere s-a rupt. Cauza a fost defecte ascunse, nu neglijență.

LastPass a vândut un design zero-knowledge. În practică, nu era zero-knowledge. 25 de milioane de utilizatori și-au văzut seifurile criptate furate. Atacul a fost dezvăluit prima dată în august 2022. LastPass și-a revizuit dezvăluirile de mai multe ori. Amploarea completă a ieșit la iveală la sfârșitul anului 2022.

Pentru firmele din sănătate, finanțe și juridic, acesta nu era o știre îndepărtată. Aceste sectoare se confruntă cu răspundere reală când datele scurg. Cazul LastPass a fost un semn timpuriu al unei probleme mai largi.

Două Defecte Care au Permis Atacul

Revizuirea post-incident a găsit două slăbiciuni cheie.

Configurare slabă a cheii. LastPass a folosit PBKDF2 pentru derivarea cheii. Conturile mai noi aveau 100.100 de iterații. OWASP recomandă 600.000. Unele conturi vechi aveau cât de puțin 1 iterație. Mai puține iterații fac atacurile prin forță brută rapide și ieftine. Atacatorii cu fișierele seifurilor puteau testa parolele principale cu viteză mare.

Metadate în text simplu. Conținutul seifului era criptat. Dar metadatele nu. URL-urile, numere de utilizator și numele serviciilor erau toate vizibile în datele furate. Atacatorii puteau vedea cu ce servicii avea conturi fiecare utilizator. Aceasta a permis phishing țintit și umplerea cu credențiale. Nu era necesară nicio spargere a seifului.

Acest caz arată de ce două întrebări trebuie puse separat. „Este design-ul zero-knowledge?" este o întrebare. „Este construcția corectă?" este o altă întrebare.

Okta în 2023: Un Alt Atac, Același Rezultat

În octombrie 2023, Okta a raportat un incident de securitate. O credențială furată a dat unui atacator acces la sistemul de suport pentru clienți. Atacul a expus 600.000+ de înregistrări de suport. Acestea includeau fișiere încărcate de clienți în timpul sesiunilor de suport.

Okta este o platformă de securitate a identității. Problema nu era un defect de design. Era un eșec de control al accesului. Autentificarea unui inginer de suport a fost furată. Atacatorul a folosit-o pentru a accesa date sensibile.

LastPass și Okta arată cele două căi principale către un compromis al furnizorului:

  • Eșecuri de design — revendicări zero-knowledge care nu au fost construite corect
  • Eșecuri de control al accesului — credențiale valide utilizate pentru a accesa date la care nu ar trebui să ajungă

Design-ul zero-knowledge previne primul tip. Nu oprește un atacator cu credențiale valide de suport. Dar îl blochează să citească datele clienților. Furnizorul nu deține niciodată conținut decriptabil. Consultați prezentarea noastră de securitate și conformitate pentru modul în care se aplică aceasta instrumentelor PII.

Evenimentele de Securitate SaaS au Crescut cu 300% în Doi Ani

Obsidian Security a găsit o creștere de 300% în evenimentele de securitate ale platformelor SaaS din 2022 până în 2024.

Aceasta nu este o creștere de 300% a abilității atacatorilor. Două forțe au condus-o. Utilizarea SaaS a crescut rapid. Atacatorii au urmat datele. Un compromis al unui furnizor poate expune datele de la zeci de clienți deodată. Acel câștig favorizează atacurile asupra furnizorilor față de atacurile asupra firmelor individuale.

Întreprinderile care au presupus că platformele cloud sunt sigure trebuie să actualizeze acea viziune. Furnizorii SaaS sunt acum ținte principale.

Întrebări de Pus Oricărui Furnizor Cloud

Pentru echipele de achiziție și securitate, această listă de verificare acoperă domeniile principale.

Configurarea criptării:

  • Cereți algoritmul de derivare a cheii, numărul de iterații și setările de memorie.
  • Confirmați că numărul de iterații îndeplinește minimele OWASP. Acesta este 600.000 PBKDF2-SHA256 sau Argon2id echivalent.
  • Verificați că derivarea cheii rulează pe dispozitivul dvs., nu pe serverele furnizorului.

Expunerea metadatelor:

  • Întrebați ce metadate sunt stocate în text simplu lângă conținut criptat.
  • Solicitați un model de date. Ar trebui să arate ce câmpuri sunt criptate și care sunt vizibile într-un atac.

Accesul la suport:

  • Întrebați dacă personalul de suport poate accesa datele clienților.
  • Confirmați că sistemele de suport nu pot accesa textul simplu al clienților.

Istoricul incidentelor:

  • Cereți toate evenimentele de securitate anterioare, inclusiv cele sub pragurile de dezvăluire publică.
  • Evaluați cât de complete și oneste au fost dezvăluirile anterioare.

Incidentul LastPass a fost un eșec de construcție și un eșec de încredere. Furnizorii cu răspunsuri specifice permit o revizuire reală a riscului. Furnizorii cu revendicări vagi lasă riscul ascuns. Acel risc apare adesea numai după un atac. Consultați prezentarea noastră de conformitate pentru îndrumări privind evaluarea furnizorilor.

anonym.legal utilizează arhitectura zero-knowledge pentru anonimizarea PII. Derivarea cheii rulează prin Argon2id în browser-ul sau aplicația desktop. Criptarea se produce înainte ca datele să părăsească dispozitivul. Serverele stochează numai text cifrat pe care nu îl pot decripta. Aflați mai multe.

Surse

Articole Asemănătoare

Tehnic

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tehnic

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tehnic

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.