Sự cố định hình lại bảo mật đám mây
Cập nhật cho năm 2026
Vi phạm LastPass năm 2022 không chủ yếu về các trình quản lý mật khẩu. Nó về sự tin tưởng. Các công ty đã tin tưởng một nhà cung cấp đám mây với dữ liệu của họ. Sự tin tưởng đó đã bị rạn nứt bởi các khiếm khuyết ẩn, không phải sự cẩu thả.
LastPass đã bán một thiết kế zero-knowledge. Trong thực tế, nó không phải là zero-knowledge. 25 triệu người dùng đã có các vault được mã hóa của họ bị đánh cắp. Cuộc tấn công lần đầu được tiết lộ vào tháng 8 năm 2022; LastPass đã sửa đổi thông tin liên lạc của mình nhiều lần, và phạm vi đầy đủ chỉ xuất hiện vào cuối năm 2022.
Đối với các công ty trong y tế, tài chính và pháp lý, đây không phải là tin tức xa xôi. Những lĩnh vực này đối mặt với trách nhiệm cụ thể khi dữ liệu bị lộ. Vụ LastPass là tín hiệu sớm của một vấn đề lớn hơn.
Hai khiếm khuyết đã làm cho cuộc tấn công có thể xảy ra
Xem xét sau sự cố đã xác định hai lỗ hổng chính.
Cấu hình khóa yếu. LastPass đã sử dụng PBKDF2 để dẫn xuất khóa. Các tài khoản mới hơn có 100.100 lần lặp; OWASP khuyến nghị 600.000. Một số tài khoản cũ hơn chỉ có 1 lần lặp. Ít lần lặp hơn làm cho các cuộc tấn công brute-force nhanh và rẻ: với các tệp vault trong tay, kẻ tấn công có thể kiểm tra các master password ở tốc độ cao.
Siêu dữ liệu ở dạng thuần túy. Nội dung vault được mã hóa — nhưng siêu dữ liệu thì không. URL, tên người dùng và tên dịch vụ đều hiển thị trong dữ liệu bị đánh cắp. Kẻ tấn công có thể thấy dịch vụ nào mỗi người dùng sở hữu, làm cho việc phishing có mục tiêu và nhồi nhét thông tin đăng nhập có thể mà không cần giải mã các vault.
Vụ án này chứng minh tại sao hai câu hỏi phải được hỏi riêng biệt: «Thiết kế có phải là zero-knowledge không?» là một câu hỏi. «Triển khai có đúng không?» là một câu hỏi khác.
Okta năm 2023: một cuộc tấn công khác, kết quả giống nhau
Vào tháng 10 năm 2023, Okta đã báo cáo một sự cố bảo mật. Một thông tin đăng nhập bị đánh cắp đã cho phép kẻ tấn công truy cập vào hệ thống hỗ trợ khách hàng, lộ 600.000+ hồ sơ hỗ trợ, bao gồm các tệp được tải lên bởi khách hàng trong các phiên hỗ trợ.
Okta là một nền tảng bảo mật danh tính. Vấn đề không phải là lỗi thiết kế, mà là thất bại kiểm soát truy cập: thông tin đăng nhập của một kỹ thuật viên hỗ trợ đã bị đánh cắp và kẻ tấn công đã sử dụng chúng để truy cập dữ liệu nhạy cảm.
LastPass và Okta cho thấy hai con đường chính dẫn đến sự xâm phạm nhà cung cấp:
- Lỗi thiết kế — các tuyên bố zero-knowledge không được xây dựng đúng cách
- Lỗi kiểm soát truy cập — thông tin đăng nhập hợp lệ được sử dụng để truy cập dữ liệu không nên có thể đạt được
Thiết kế zero-knowledge ngăn chặn loại đầu tiên — nhưng không ngăn chặn kẻ tấn công với thông tin đăng nhập hỗ trợ hợp lệ. Tuy nhiên, nó ngăn chúng đọc dữ liệu khách hàng, vì nhà cung cấp không bao giờ giữ nội dung có thể giải mã được. Xem tổng quan bảo mật và tuân thủ của chúng tôi để biết cách này áp dụng cho các công cụ PII.
Các sự kiện bảo mật SaaS đã tăng 300% trong hai năm
Obsidian Security đã ghi nhận tăng 300% các sự kiện bảo mật trên các nền tảng SaaS từ năm 2022 đến năm 2024.
Đây không phải là tăng 300% trong khả năng của kẻ tấn công. Hai lực lượng đã thúc đẩy nó: việc sử dụng SaaS đã tăng nhanh chóng và kẻ tấn công đã theo dõi dữ liệu. Một sự xâm phạm nhà cung cấp duy nhất có thể lộ dữ liệu của hàng chục khách hàng cùng một lúc — một động lực ưu tiên việc tấn công nhà cung cấp thay vì các công ty riêng lẻ.
Các doanh nghiệp giả định rằng các nền tảng đám mây là an toàn cần cập nhật quan điểm đó: các nhà cung cấp SaaS ngày nay là các mục tiêu chính.
Câu hỏi cần hỏi bất kỳ nhà cung cấp đám mây nào
Đối với các đội mua hàng và bảo mật, danh sách kiểm tra này bao gồm các lĩnh vực thiết yếu.
Cấu hình mã hóa:
- Yêu cầu thuật toán dẫn xuất khóa, số lần lặp và cài đặt bộ nhớ.
- Xác minh số lần lặp đáp ứng các tối thiểu OWASP: 600.000 PBKDF2-SHA256 hoặc Argon2id tương đương.
- Xác nhận việc dẫn xuất khóa xảy ra trên thiết bị của người dùng, không phải trên máy chủ của nhà cung cấp.
Tiếp xúc siêu dữ liệu:
- Hỏi siêu dữ liệu nào được lưu trữ ở dạng thuần túy bên cạnh nội dung được mã hóa.
- Yêu cầu mô hình dữ liệu cho thấy trường nào được mã hóa và trường nào có thể nhìn thấy trong một cuộc tấn công.
Truy cập hỗ trợ:
- Hỏi liệu nhân viên hỗ trợ có thể truy cập dữ liệu khách hàng không.
- Xác nhận các hệ thống hỗ trợ không thể tiếp cận văn bản thuần túy của khách hàng.
Lịch sử sự cố:
- Yêu cầu tất cả các sự kiện bảo mật trước đây, bao gồm những sự kiện dưới ngưỡng tiết lộ công khai.
- Đánh giá tính đầy đủ và trung thực của các thông tin liên lạc trước đây.
Sự cố LastPass là thất bại triển khai và thất bại tin tưởng. Các nhà cung cấp cung cấp câu trả lời cụ thể cho phép đánh giá rủi ro thực sự; những người có câu trả lời mơ hồ để rủi ro ẩn — rủi ro thường chỉ xuất hiện sau một cuộc tấn công. Xem tổng quan tuân thủ của chúng tôi để được hướng dẫn đánh giá nhà cung cấp.
anonym.legal sử dụng kiến trúc zero-knowledge để ẩn danh hóa dữ liệu PII. Việc dẫn xuất khóa xảy ra qua Argon2id trong trình duyệt hoặc ứng dụng máy tính. Mã hóa xảy ra trước khi dữ liệu rời thiết bị của người dùng. Máy chủ chỉ lưu trữ văn bản được mã hóa mà chúng không thể giải mã. Tìm hiểu thêm.