Brottet som förändrade antagandena om företags molnsäkerhet
LastPass-brottet 2022 handlar inte främst om lösenordshanterare. Det är en berättelse om vad som händer när företag litar på molnleverantörer med sina mest känsliga data och det förtroendet bryts — inte genom vårdslöshet utan genom implementeringssvagheter som var osynliga från utsidan.
LastPass marknadsförde en nollkännedom-arkitektur. Arkitekturen var inte nollkännedom i praktiken. 25 miljoner användare fick sina krypterade valv exfiltrerade. Brottet offentliggjordes först i augusti 2022 och uppdaterades flera gånger fram till slutet av 2022 när omfattningen utvidgades.
För företag inom hälso- och sjukvård, finans och juridiska tjänster — sektorer där dataläckage skapar regulatoriskt ansvar — var LastPass-brottet inte en isolerad händelse att se på avstånd. Det var en förhandsvisning av ett systematiskt problem.
Implementeringsdetaljerna som betydde något
Analysen efter brottet avslöjade två kritiska implementeringssvagheter:
Brister i iterationsantal: LastPass använde PBKDF2 för nyckelavledning. För nyare konton använde de 100,100 iterationer — under branschens rekommendation på 600,000. För äldre konton (före 2018 i vissa fall) var iterationsantalet så lågt som 1 iteration. Lägre iterationsantal gör bruteforce-attacker på de krypterade valven beräkningsmässigt genomförbara. Angripare som fick tag på valven kunde systematiskt försöka knäcka huvudlösenord.
Metadataexponering: Medan valvets innehåll var krypterat, var metadata inte det. URL:er som lagrades i lösenordshanteraren, användarnamn och tjänstenamn var synliga i den exfiltrerade datan. Angripare kunde identifiera vilka tjänster användarna hade konton hos, vilket möjliggjorde riktad phishing och credential stuffing även utan att knäcka valvets kryptering.
För upphandlingsteam som utvärderar molnsäkerhetsleverantörer visar LastPass-fallet att två frågor måste besvaras separat: "Är arkitekturen nollkännedom?" och "Är implementeringen korrekt?"
Okta-brottet: Samma månad, en annan mekanism
I oktober 2023 offentliggjorde Okta att en hotaktör hade använt en stulen legitimation för att få tillgång till Oktas kundsupportsystem. Brottet exponerade 600,000+ kundsupportposter, inklusive filer som laddades upp av kunder under supportinteraktioner.
Okta är en identitetssäkerhetsplattform. Brottet var inte ett grundläggande arkitekturfel — det var ett fel i åtkomstkontrollen i leveranskedjan. En supportteknikers legitimation hade komprometterats, och angriparen använde legitim åtkomst för att nå känsliga data.
Kombinationen av LastPass och Okta illustrerar de två felmoderna som företags molnleverantörer står inför:
- Arkitekturfel: påståenden om nollkännedom som inte är genuint implementerade
- Åtkomstkontrollfel: legitima legitimationer som leder till obehörig datatillgång
Nollkännedom-arkitektur adresserar det första felmodet. Det skyddar inte mot en beslutsam angripare som får legitima legitimationer för leverantörens supportsystem. Men det säkerställer att även en sådan angripare inte kan få tillgång till kundens klartext — eftersom leverantörens supportsystem aldrig har tillgång till dekrypterbara data.
Säkerhetsincidenter för SaaS ökade med 300 % från 2022 till 2024
Forskning från AppOmni och Cloud Security Alliance som spårar SaaS-brottsincidenter från 2022 till 2024 visade en 300 % ökning av säkerhetsincidenter som påverkade SaaS-plattformar under denna period.
Siffran 300 % representerar inte en 300 % ökning av angriparnas sofistikering. Det representerar tillväxten av SaaS-antagande kombinerat med angriparanpassning: när mer företagsdata flyttades till molnplattformar, flyttade angripare resurser för att rikta in sig på dessa plattformar. ROI för att kompromettera en SaaS-leverantör — att få tillgång till data från dussintals eller hundratals företagskunder samtidigt — är avsevärt högre än att rikta in sig på enskilda företag.
För företag som byggt sina utvärderingsprocesser för leverantörssäkerhet kring antagandet att molnleverantörer är säkra mål, kräver data från 2022-2024 en omkalibrering. Antagandet är fel. SaaS-leverantörer är prioriterade mål.
Checklista för granskning efter LastPass
För företag som omvärderar molnleverantörers säkerhet efter LastPass- och Okta-händelserna, en praktisk checklista:
Krypteringsimplementering:
- Begär nyckelavledningsalgoritmen, iterationsantalet och minnesparametrarna
- Bekräfta att iterationsantalet uppfyller aktuella OWASP-rekommendationer (600,000 PBKDF2-SHA256 minimum, eller motsvarande Argon2id-parametrar)
- Verifiera att nyckelavledning sker på klientsidan, inte på leverantörens servrar
Metadata-skydd:
- Fråga specifikt vilken metadata som lagras i klartext tillsammans med krypterat innehåll
- Begär datamodellen som visar vilka fält som är krypterade och vilka som är tillgängliga i brottsscenarier
Åtkomstkontroller för supportsystem:
- Begär dokumentation om supportteknikers åtkomst till kunddata
- Bekräfta att supportsystem inte kan få tillgång till kundens klartextdata
Historik över brottsanmälningar:
- Begär offentliggörande av alla tidigare säkerhetsincidenter, inklusive de som inte nått offentliga offentliggörandetrösklar
- Utvärdera transparensen och fullständigheten av tidigare offentliggöranden
LastPass-brottet var delvis ett fel i implementeringen och delvis ett fel i transparensen om implementeringen. Företag som ställer detaljerade frågor före leverantörsval får svar som möjliggör en informerad riskbedömning. Företag som accepterar hög nivå påståenden — "vi krypterar dina data" — ärver risken att upptäcka implementeringsdetaljer efter ett brott.
Källor: