Porušenie, ktoré zmenilo predpoklady podnikového cloudového bezpečnosti
Porušenie LastPass 2022 nie je primárne príbehom správcov hesiel. Je to príbeh o tom, čo sa stane, keď podniky zvery cloudovým dodávateľom svoje najcitlivejšie údaje a táto dôvera je porušená—nie z nedbanlivosti, ale prostredníctvom slabosti implementácie, ktorá boli z vonka neviditeľné.
LastPass marketoval architektúru s nulovým vedomím. Architektúra nebola v praxi nula-vedovania. 25 miliónov používateľov malo svoje zašifrované trezory exfiltrované. Porušenie bolo prvýkrát zverejnené v auguste 2022 a viackrát aktualizované v neskorých 2022, ako sa rozsah rozšíril.
Pre podniky v zdravotníctve, financiách a právnych službách—sektora, kde expozícia údajov vytvára regulačnú zodpovednosť—porušenie LastPass nebolo izolovným incidentom, ktorý by sa pozoroval z diaľky. Bola to náhľad na systémový problém.
Detaily implementácie, na ktorých záležalo
Analýza po porušení odhalila dve kritické slabosti implementácie:
Nedostatočnosť iterácie: LastPass použil PBKDF2 na odvodzovania kľúča. Pre novšie účty použili 100 100 iterácií—pod odporúčaním v priemysle 600 000. Pre staršie účty (v niektorých prípadoch pred 2018), počet iterácií bol tak nízky ako 1 iterácia. Nižšie iterácie robia útoky hrubej sily na zašifrovaných trezoroch výpočtovo realizovateľný. Útočníci, ktorí získali trezory, mohli systematicky pokúsiť treskať hlavné heslá.