Хронологія зламу
Серпень 2022: LastPass повідомляє, що зловмисник отримав доступ до середовища розробки через скомпрометований обліковий запис розробника. Заявлено: жодних даних клієнтів не торкнулися.
Листопад 2022: Друге розкриття. Зловмисники отримали доступ до зашифрованих резервних копій сховищ, метаданих і підказок паролів.
Грудень 2022: LastPass підтверджує, що зашифровані сховища були ексфільтровані разом з незашифрованими URL, ключовими метаданими.
2023-2025: Зловмисники взломали «зашифровані» сховища. $438 мільйонів вкрадено у криптовалюті від знятих сховищ.
Основні уроки для підприємств
Урок 1: Шифрування постачальника ≠ нульові знання
LastPass шифрував дані — власними ключами. Коли ці ключі були скомпрометовані, шифрування стало марним.
Уроку: Вимагайте від постачальників, де ключі генеруються та зберігаються. Справжнє нульове знання означає, що ваш постачальник не може ніколи розшифрувати ваші дані.
Урок 2: Часткові повідомлення збільшують ризик
Оперційне розкриття LastPass тривало місяцями. Підприємства, які не знали про повний масштаб порушення, не вжили відповідних заходів.
Уроку: Вимагайте від постачальників визначених термінів повідомлень і повної прозорості порушень.
Урок 3: Метадані так само чутливі, як зміст
LastPass не зберігав паролі у відкритому тексті — але зберігав URL, підказки паролів та описи відкритого тексту. Зловмисники використали це для пріоритетизації цінних сховищ.
Уроку: Оцінюйте заяви постачальників про конфіденційність метаданих так само суворо, як і захист вмісту.
Як anonym.legal реалізує справжні нульові знання
-
Ключі генеруються на вашому пристрої — ніколи не надсилаються нам
-
Ми зберігаємо лише bcrypt хеш для аутентифікації
-
Ми технічно не можемо розшифрувати ваші дані
-
Метадані мінімізовані та не посилаються на вміст
Джерела: