Iluzija šifriranja
Decembra 2022 je LastPass najavil kršitev. Uradna izjava je vsebovala pomirjevalne besede: gesla uporabnikov so bila 'šifrirana'. Podatki seifa so bili 'varni'.
Do leta 2025 je bilo iz LastPass-a ukradenih več kot 438 milijonov dolarjev – odvzetega direktno iz domnevno šifriranih sefov.
Kakšno? LastPass je imel ključe.
To je kritična razlika, ki jo mora razumeti vsak inženjer varnosti pred izbiro katerega koli oblačnega orodja, ki upravlja občutljive podatke – vključno s platformami za anonimizacijo PII.
Šifriranje na strežniku vs. Arhitektura s čistim znanjem
Večina oblačnih orodij, ki trdijo, da 'šifrirajo podatke', uporablja šifriranje na strežniku (SSE). Tukaj je, kaj to dejansko pomeni:
| Lastnost | Šifriranje na strežniku | Arhitektura s čistim znanjem |
|---|---|---|
| Kje se dogaja šifriranje | Na strežniku prodajalca | Na vaši napravi (brskalnik/namizje) |
| Kdo ima ključe | Prodajalec | Le vi |
| Ali lahko prodajalec prebere podatke | Ja | Ne |
| Ali strežnik kršitev razkriv podatke | Ja | Ne (samo šifrogram) |
| Ali je prodajalec prisiljen razkriti podatke | Ja | Ne (nima jih) |
LastPass je uporabil šifriranje na strežniku s ključi, ki jih je nadzoroval. Ko so napadalci infiltrirali njihovo infrastrukturo, so dobili tako šifrirane podatke kot sredstva za njihovo dešifriranje – skozi socialno inženirstvo zaposlenih, silo pri šibkih glavnih geslih...