È stata intentata un'azione legale contro il servizio di gestione delle password LastPass a seguito di una violazione dei dati avvenuta nell'agosto 2022.
L'azione di classe era depositata con il tribunale distrettuale del Massachusetts degli Stati Uniti il 3 gennaio da un querelante anonimo noto solo come "John Doe" e per conto di altri similmente situati.
Sostiene che la violazione dei dati di LastPass ha provocato il furto di circa $ 53,000 di Bitcoin (BTC).
Il querelante ha affermato di aver iniziato ad accumulare BTC nel luglio 2022 e di aver aggiornato la sua password principale a più di 12 caratteri utilizzando un generatore di password, come raccomandato dalle "best practice" di LastPass.
Ciò è stato fatto per consentire l'archiviazione delle chiavi private nell'apparentemente sicuro caveau del cliente LastPass.
Quando si è diffusa la notizia della violazione dei dati, il querelante ha cancellato le sue informazioni private dal caveau del cliente. LastPass è stato violato nell'agosto 2022, con l'aggressore che ha rubato password crittografate e altri dati, secondo un dicembre dichiarazione della società.
Nonostante la rapida azione per cancellare i dati, sembrava essere troppo tardi per il querelante. La causa diceva:
"Tuttavia, durante o intorno al fine settimana del Ringraziamento del 2022, il Bitcoin del querelante è stato rubato utilizzando le chiavi private che aveva archiviato con l'imputato [LastPass]."
"La violazione dei dati di LastPass lo ha, non per colpa sua, esposto al furto del suo Bitcoin e lo ha esposto a continui rischi", ha aggiunto.
La causa afferma che le vittime sono state esposte a un rischio maggiore e sostanziale di future frodi e uso improprio delle loro informazioni private, che potrebbero richiedere anni per manifestarsi, scoprire e rilevare.
LastPass è accusato di negligenza, violazione del contratto, arricchimento senza causa e violazione del dovere fiduciario. Tuttavia, la cifra richiesta a titolo di risarcimento non è stata specificata.
Correlato: "Incidente di terze parti" ha avuto un impatto su Gemini con 5.7 milioni di e-mail trapelate
Secondo il ricercatore di sicurezza informatica Graham Cluley, i dati rubati inclusi informazioni non crittografate inclusi nomi di società, nomi utente, indirizzi di fatturazione, numeri di telefono, indirizzi e-mail, indirizzi IP e URL di siti Web da depositi di password.
r/t LostPass?
Dopo l'hacking di LastPass, ecco cosa devi sapere...https://t.co/8x47Vze0lb
—Graham Cluley (@gcluley) Gennaio 4, 2023
A dicembre, LastPass ha ammesso che se i clienti avevano password principali deboli, gli aggressori potrebbero essere in grado di usare la forza bruta per indovinare questa password, consentendo loro di decrittografare i depositi.
Fonte: https://cointelegraph.com/news/lastpass-data-breach-led-to-53k-in-bitcoin-stolen-lawsuit-alleges