Ilúzia šifrovania
V decembri 2022 LastPass oznámil porušenie. Oficiálne vyhlásenie obsahovalo upokojujúci jazyk: heslá používateľov boli "zašifrované". Údaje trezoru boli "zabezpečené".
Do roku 2025 bolo ukradnutých viac ako 438 miliónov dolárov od používateľov LastPass—priamo odchádzajúcich z ich údajne zašifrovaného trezoru.
Ako? LastPass mal kľúče.
Toto je kritické rozlíšenie, ktoré musí pochopiť každý tím bezpečnosti podnikov pred výberom akéhokoľvek cloudového nástroja, ktorý spracúva citlivé údaje—vrátane platforiem anonymizácie PII.
Šifrovanie na strane servera vs. Architektúra s nulovým vedomím
Väčšina nástrojov v cloude, ktoré tvrdia, že "šifrujú vaše údaje", používa šifrovanie na strane servera (SSE). Tu je, čo to vlastne znamená:
| Vlastnosť | Šifrovanie na strane servera | Architektúra s nulovým vedomím |
|---|---|---|
| Kde sa šifruje | Na serveri predávajúceho | Na vašom zariadení (prehliadač/desktop) |
| Kto má kľúče | Predávajúci | Len vy |
| Predávajúci môže čítať údaje | Áno | Nie |
| Porušenie servera odhaliť údaje | Áno | Nie (len šifrovaný text) |
| Predávajúci môže byť nútený vydať údaje | Áno | Nie (nemajú ich) |
| Prístup regulátorov/presadzovania zákona | Cez predávajúceho | Nie je možný bez vášho kľúča |
LastPass použil šifrovanie na strane servera s kľúčmi, ktoré kontroloval. Keď útočníci porušili ich infraštruktúru, získali šifrovaný text aj prostriedky na jeho nakoniec dešifrovanie—prostredníctvom sociálneho inžinierstva zamestnancov, hrubej sily slabých hlavných hesel.
OVERENÍ...