anonym.legal

By · Last updated 2026-03-17

Nazaj na blogTehnično

Vdor v LastPass: Nauki o varnosti ponudnikov

LastPass je sifiriral podatke svojih uporabnikov. Trezorji so bili vseeno exfiltrirani. Sledilo je 600.000+ zapisov Okta. Varnostni incidenti SaaS so se od leta 2022 do 2024 povecali za 300 %.

March 17, 20268 min branja
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

Incident, ki je preoblikoval varnost v oblaku

Posodobljeno za leto 2026

Vdor v LastPass iz leta 2022 ni v prvi vrsti o upravljalcih gesel. Gre za zaupanje. Podjetja so zaupala ponudniku v oblaku s svojimi podatki. To zaupanje se je zlomilo. Vzrok so bile skrite napake, ne malomarnost.

LastPass je prodajal zasnovo nic-znanja. V praksi ni bila nic-znanje. 25 milijonov uporabnikov je imelo ukradene sifrirane trezorje. Napad je bil prvic razkrit avgusta 2022. LastPass je svoja razkritja veckrat revidiral. Polni obseg je postal jasen do konca leta 2022.

Za podjetja v zdravstveni, financni in pravni panogi to ni bila oddaljena novica. Ti sektorji se soocajo z realno odgovornostjo, ko uhajajo podatki. Primer LastPass je bil zgodnji znak sirsega problema.

Dve napaki, ki sta omogocili napad

Pregled po incidentu je odkril dve kljucni slabosti.

Sibka nastavitev kljucev. LastPass je za izpeljavo kljucev uporabljal PBKDF2. Novejsi racuni so imeli 100.100 iteracij. OWASP priporoca 600.000. Nekateri stari racuni so imeli le 1 iteracijo. Manj iteracij naredi napade s surovo silo hitre in pocene. Napadalci z datotekami trezorja so lahko testirali glavna gesla z visoko hitrostjo.

Metapodatki v odkritemu besedilu. Vsebina trezorja je bila sifrirana. Toda metapodatki niso bili. URL-ji, uporabniska imena in imena storitev so bili vsi vidni v ukradenih podatkih. Napadalci so videli, pri katerih storitvah ima vsak uporabnik racune. To je omogocilo ciljno lajnanje phishing in polnjenje poverilnic. Ni bilo potrebno krkanje trezorja.

Ta primer pokazuje, zakaj je treba dve vprasanji postavljati loceno. "Je zasnova nic-znanje?" je eno vprasanje. "Je izvedba pravilna?" je drugo vprasanje.

Okta v letu 2023: Drugacen napad, enak rezultat

Oktobra 2023 je Okta porocal o varnostnem incidentu. Ukradena poverilnica je napadalcu dala dostop do sistema za podporo strankam. Napad je razkril 600.000+ zapisov za podporo. Te so vkljucevale datoteke, ki so jih stranke nalozile med sejami za podporo.

Okta je platforma za identitetno varnost. Tezava ni bila napaka v zasnovi. Bila je napaka v nadzoru dostopa. Prijava inzenirja za podporo je bila ukradena. Napadalec jo je uporabil za doseganje obcutljivih podatkov.

LastPass in Okta pokazeta dve glavni poti do kompromitiranja ponudnika:

  • Napake v zasnovi -- trditve nic-znanja, ki niso bile pravilno zgrajene
  • Napake v nadzoru dostopa -- veljavne poverilnice, uporabljene za doseganje podatkov, ki jih ne bi smele doci

Zasnova nic-znanja preprecuje prvo vrsto. Ne ustavi napadalca z veljavnimi poverilnicami za podporo. Toda blokira tega napadalca pred branjem podatkov strank. Ponudnik nikoli ne hrani desifrljaive vsebine. Glejte nas pregled varnosti in skladnosti za to, kako to velja za orodja PII.

Varnostni eventi SaaS so se v dveh letih povecali za 300 %

Obsidian Security je ugotovil 300-% povecanje varnostnih eventi platforme SaaS od leta 2022 do 2024.

To ni 300-% povecanje spretnosti napadalcev. Dve sili sta ga spodbudili. Uporaba SaaS je hitro rasla. Napadalci so sledili podatkom. Ena kompromitacija ponudnika lahko hkrati razkril podatke od desetin strank. Ta izplacilo favorizira napade na ponudnike pred napadi na posamezna podjetja.

Podjetja, ki so predpostavljala, da so oblacne platforme varne, morajo posodobiti ta pogled. Ponudniki SaaS so zdaj primarne tarce.

Vprasanja za katerega koli ponudnika v oblaku

Za nakupne in varnostne ekipe ta kontrolni seznam pokriva osnovna podrocja.

Nastavitev sifriranja:

  • Vprasajte za algoritem izpeljave kljucev, stevilo iteracij in nastavitve pomnilnika.
  • Potrdite, da stevila iteracij ustrezajo minimalnim vrednostim OWASP. To je 600.000 PBKDF2-SHA256 ali enakovredni Argon2id.
  • Preverite, da izpeljava kljucev poteka na vasi napravi, ne na streznikih ponudnika.

Razkritje metapodatkov:

  • Vprasajte, kateri metapodatki so shranjeni v odkritemu besedilu poleg sifrirane vsebine.
  • Zahtevajte podatkovni model. Pokazati mora, katera polja so sifrirana in katera so vidna pri napadu.

Dostop za podporo:

  • Vprasajte, ali osebje za podporo lahko dostopa do podatkov strank.
  • Potrdite, da sistemi za podporo ne morejo doci do odkritega besedila stranke.

Pretekli incidenti:

  • Zahtevajte vse pretekle varnostne eventi, vkljucno s tistimi pod pragi javnega razkritja.
  • Ocenite, kako popolna in potena so bila pretekla razkritja.

Incident LastPass je bila napaka v izgradnji in napaka v zaupanju. Ponudniki s specificnimi odgovori omogocajo pravi pregled tveganja. Ponudniki z nejasnimi trditvami pustijo tveganje skrito. To tveganje se pogosto razkaze sele po napadu. Glejte nas pregled skladnosti za navodila za vrednotenje ponudnikov.

anonym.legal uporablja arhitekturo nic-znanja za anonimizacijo PII. Izpeljava kljucev poteka prek Argon2id v vasem brskalniiku ali namizni aplikaciji. Sifriranje se zgodi, preden podatki zapustijo vaso napravo. Strezniki shranjujejo le sifirni tekst, ki ga ne morejo desifirirati. Izveste vec.

Viri

Sorodni članki

Tehnično

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Tehnično

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Tehnično

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.