Wat die LastPass-oortreding ons vertel oor voldoening in 2026

Wat die LastPass-oortreding ons vertel oor nakoming in 2026

Deur Phil Muncaster • 17 Februarie 2026

Die AVG was nog altyd bedoel om vaag te wees. Deur nie voorskriftelike tegniese beheermaatreëls te lys nie – soos byvoorbeeld PCI DSS doen – bly die regulasie beter relevant oor tyd. Tog kan die beginsel van "tegnologie-neutraliteit" ook 'n bron van frustrasie vir voldoeningspanne wees. Vir meer pragmatiese leiding wend baie hulle hulle tot beste praktykstandaarde soos ISO 27001:2022, wat 'n gestruktureerde, risiko-geleide benadering tot kuberveiligheid bevorder.

Tog, soos datalekke by LastPass en ander organisasies getoon het, is dit nie 'n wondermiddel nie – veral as spanne nie voldoening benader met 'n ingesteldheid van voortdurende hersiening en verbetering nie.

Wat het met LastPass gebeur?

Daar word geglo dat die LastPass-oortreding in 2022 die besonderhede van ongeveer 30 miljoen globale kliënte blootgelê het, insluitend 1.6 miljoen in die VK. Volgens enige standaard was dit 'n redelik gesofistikeerde aanval, wat uit twee afsonderlike fases bestaan het:

'n Bedreigingsakteur het 'n sagteware-ingenieur se skootrekenaar gekompromitteer, wat hulle toegang tot 'n SSE-C-sleutel gegee het. Hulle kon dit teoreties gebruik het om toegang tot rugsteun van kliëntdata te verkry, insluitend geïnkripteerde wagwoordkluise. Die sleutel was egter geïnkripteer, en volle toegang tot die databasis het ook 'n tweede AWS-toegangsleutel vereis.
'n Bedreigingsakteur kon 'n kwesbaarheid in die Plex-videostroomdiens benut wat na die persoonlike skootrekenaar van 'n senior ontwikkelingsbedryfsingenieur afgelaai is. Dit het hulle in staat gestel om 'n sleutellogger te installeer en daarna die SSE-C-sleutel te dekripteer en die AWS-toegangsleutel in die hande te kry. Dit het die deur oopgemaak na daardie geïnkripteerde wagwoordkluise.

Omdat hoofwagwoorde vir hierdie kluise plaaslik op kliënttoestelle gestoor is en nooit met LastPass gedeel is nie, moes hulle veilig gewees het. Maar swak implementering van die PBKDF2-algoritme het beteken dat tallose wagwoorde in die jare sedert die oortreding brutelik afgedwing is, wat tot 'n beraamde ... gelei het. $35 miljoen in kriptogeldeenheiddiefstal.

Wat die ICO gesê het

Die Kantoor van die Inligtingskommissaris (ICO) beboet met LastPass van £1.2 miljoen vir sy "versuim om toepaslike tegniese en organisatoriese maatreëls te implementeer en te gebruik, strydig met Artikel 5(1)(f) VK AVG en Artikel 32(1)." Spesifiek het die firma senior ingenieurs toegelaat om persoonlike skootrekenaars te gebruik om toegang tot produksiesleutels te verkry, dit het werknemers toegelaat om persoonlike en besigheidskluise met dieselfde hoofwagwoord te koppel, en dit het versuim om AWS-sleutels na die eerste voorval te roteer.

Tog het die reguleerder erken dat voldoening aan ISO 27001:2022 moes beteken het dat die maatskappy die ICO se eie riglyne oor die beveiliging van tuiswerktoestelle en die skeiding van persoonlike en besigheidstoestelle/rekeninge gevolg het. Dit het duidelik nie.

“LastPass is nie ’n uitsondering nie. Ons onlangse navorsing het bevind dat meer as ’n kwart (26%) van privaatheidsprofessionele persone glo dat hul organisasie waarskynlik binne die volgende jaar ’n wesenlike privaatheidsbreuk sal ervaar. Hierdie vlak van risiko word vinnig die norm,” sê Chris Dimitriadis, hoof globale strategiebeampte van ISACA, aan IO (voorheen ISMS.online).

“Voldoening aan standaarde soos ISO 27001 is noodsaaklik – maar dit is slegs die beginpunt. Die LastPass-oortreding onderstreep 'n harde waarheid: privaatheid en databeskerming kan nie gereduseer word tot blokkiesmerk nie. Organisasies moet verder as minimale voldoening beweeg na ondernemingswye vermoë- en volwassenheidsassesserings.”

Beweeg saam met die Times

LastPass is nie die eerste nie en sal beslis nie die laaste maatskappy wees wat 'n ernstige oortreding ervaar nie, ten spyte daarvan dat hulle tegnies gesertifiseer is volgens beste praktykstandaarde. Ander noemenswaardige gevalle sluit in:

23andMeDie DNS-toetsfirma is deur die ICO met £2.3 miljoen beboet na 'n oortreding wat miljoene kliënte geraak het. Dit het versuim om multifaktor-verifikasie (MFA) vir gebruikers te verplig, het onvoldoende monitering vir ongewone aktiwiteit gehad, en het bedreigingsakteurs in staat gestel om 'n interne kenmerk (DNS-familielede) te misbruik om toegang tot meer rekeninge te verkry as wat hulle moes kon.
Interserve GroepDie uitkontrakteerder is met £4.4 miljoen beboet na 'n oortreding van werknemersdata. Ten spyte daarvan dat die inbraak deur die firma se eindpuntbeskermingsinstrumente gemerk is, het hulle versuim om ondersoek in te stel.

Gevalle soos hierdie beklemtoon nie die tekortkominge van standaarde soos ISO 27001 nie. Dit bewys dat baie organisasies steeds nie voldoeningsprogramme met die regte ingesteldheid benader nie.

“Alhoewel ISO 27001, SOC 2 en ander standaarde 'n uitstekende en beproefde basislyn is om korporatiewe inligtingsekuriteit te assesseer, is hulle nie – en was nog nooit – ontwerp as 'n waarborg dat 'n maatskappy onkraakbaar is of dat 100% van beleide of prosedures behoorlik gevolg word nie,” verduidelik Ilia Kolochenko, uitvoerende hoof van ImmuniWeb.

“Boonop, selfs al word alle beleide en prosedures behoorlik gevolg, beteken of impliseer dit nie dat die onderliggende prosesse tegnies foutloos is nie.”

Dennis Martin, krisisbestuur- en sakeveerkragtigheidspesialis by die tegnologiedienstefirma Axians UK, voeg by dat standaarde-gebaseerde voldoening slegs nuttig is wanneer leiers daarop aandring dat beheermaatreëls in die praktyk werk.

“Sekuriteitsmaatreëls moet gereeld getoets, gevalideer en uitgedaag word. Aannames en gedokumenteerde prosesse is geen plaasvervanger vir bewyse nie. ’n ‘Moenie vertrou nie, toets’-mentaliteit is noodsaaklik as organisasies vertroue in hul sekuriteitshouding wil hê,” sê hy vir IO (voorheen ISMS.online).

“Doeltreffende nakoming is deurlopend. Bedreigings ontwikkel, sakebedrywighede verander en beheermaatreëls versleg mettertyd. Gereelde hersiening en verbetering is nodig om te verseker dat wat neergeskryf word steeds die werklikheid weerspieël.”

Deurlopende verbetering

Trouens, ISO 27001:2022 “erken eksplisiet” dat sekuriteit nie stil moet staan nie, sê Oleria se visepresident van sekuriteit, Didier Vandenbroeck, aan IO.

“’n Kernbeginsel van die standaard is voortdurende verbetering, met ouditeure wat verwag word om geleenthede vir verbetering te opper waar beheermaatreëls tegnies voldoenend mag wees, maar nie meer gepas is vir die ontwikkelende bedreigingslandskap nie,” verduidelik hy.

“Wanneer sertifisering ’n blokkie-oefening word, gaan daardie beginsel verlore. Sertifikate is uiteindelik betekenisloos as organisasies dit nie in die praktyk volg nie, of versuim om te bevraagteken of bestaande beheermaatreëls steeds sin maak gegewe hoe mense werklik werk en hoe aanvallers opereer.”

IO CPO, Sam Peters, stem saam.

“Daarom is raamwerke en standaarde die doeltreffendste wanneer dit as lewende bestuurstelsels behandel word, wat effektiewe modelle vir die bestuur van kuberrisiko bedryf, eerder as statiese voldoeningsmylpale,” sê hy vir IO.

“Die beginsel van voortdurende verbetering, ingebed deur gereelde hersiening, uitdagings en aanpassing, was sentraal tot ons benadering by IO sedert die ontstaan en weerspieël wat reguleerders toenemend in die praktyk verwag. Deur so gebruik te word, bied raamwerke 'n duursame fondament vir organisasies om kuberrisiko te bestuur in 'n omgewing van voortdurende verandering, eerder as 'n momentopname van voldoening op 'n enkele tydstip.”

So 'n benadering is veral belangrik vir die bestuur van GDPR-risiko in 'n tyd wanneer reguleerders 'n al hoe groter klem op konteks plaas.

“Reguleerders gee baie duidelik aan dat 'toepaslike tegniese en organisatoriese maatreëls' as kontekstueel en ontwikkelend verstaan moet word, eerder as vas of staties. Wat as toepaslik beskou word, sal wissel na gelang van faktore soos risikoblootstelling, datasensitiwiteit en die bedreigingslandskap, en word toenemend beoordeel nadat 'n voorval plaasgevind het,” sluit hy af.

“In die praktyk beteken dit dat reguleerders minder belangstel in of 'n raamwerk aangeneem is, en meer gefokus is op hoe effektief dit gebruik word om inligtingsekuriteitsrisiko oor tyd te identifiseer, te hersien en te bestuur.”

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 10 Maart 2026

'n Belangrike EU-KI-wet-sperdatum nader, hier is wat besighede moet weet, banier

'n Belangrike EU-KI-wet se sperdatum kom nader: Hier is wat besighede moet weet

Die EU se KI-wet bereik die laaste fase in sy moeisame lang reis van wetgewende voorstel tot afdwingbare wet. Dit was 'n lang tyd om...

Phil Muncaster

cyber Security 5 Maart 2026

Britse finansiëledienstefirmas faal steeds met die basiese beginsels, waarsku die Boe.

Britse finansiëledienstefirmas faal steeds in die basiese beginsels, waarsku die BoE.

Die VK se finansiëledienstesektor presteer ver bo sy gewig. Londen is 'n nabye tweede na New York as die wêreld se voorste finansiële spilpunt en ...

Phil Muncaster

cyber Security 12 Februarie 2026

Is die regering se kuberaksieplan geskik vir die doel?

Dit gebeur nie dikwels dat die regering erken dat dit verkeerd was nie. Tog is ons aan die begin van die jaar getrakteer op 'n seldsame mea culpa: 'n erkenning dat 'n vorige...

Phil Muncaster