Bitcoin

La violazione dei dati di LastPass ha portato al furto di $ 53K in Bitcoin, sostiene la causa

01/05/2023
Notizie su Bitcoin Ethereum

È stata intentata un'azione legale contro il servizio di gestione delle password LastPass a seguito di una violazione dei dati avvenuta nell'agosto 2022.

L'azione di classe era depositata con il tribunale distrettuale del Massachusetts degli Stati Uniti il ​​3 gennaio da un querelante anonimo noto solo come "John Doe" e per conto di altri similmente situati.

Sostiene che la violazione dei dati di LastPass ha provocato il furto di circa $ 53,000 di Bitcoin (BTC).

Immagine

Il querelante ha affermato di aver iniziato ad accumulare BTC nel luglio 2022 e di aver aggiornato la sua password principale a più di 12 caratteri utilizzando un generatore di password, come raccomandato dalle "best practice" di LastPass.

Ciò è stato fatto per consentire l'archiviazione delle chiavi private nell'apparentemente sicuro caveau del cliente LastPass.

Quando si è diffusa la notizia della violazione dei dati, il querelante ha cancellato le sue informazioni private dal caveau del cliente. LastPass è stato violato nell'agosto 2022, con l'aggressore che ha rubato password crittografate e altri dati, secondo un dicembre dichiarazione della società.

Nonostante la rapida azione per cancellare i dati, sembrava essere troppo tardi per il querelante. La causa diceva:

"Tuttavia, durante o intorno al fine settimana del Ringraziamento del 2022, il Bitcoin del querelante è stato rubato utilizzando le chiavi private che aveva archiviato con l'imputato [LastPass]."

"La violazione dei dati di LastPass lo ha, non per colpa sua, esposto al furto del suo Bitcoin e lo ha esposto a continui rischi", ha aggiunto.

La causa afferma che le vittime sono state esposte a un rischio maggiore e sostanziale di future frodi e uso improprio delle loro informazioni private, che potrebbero richiedere anni per manifestarsi, scoprire e rilevare.

LastPass è accusato di negligenza, violazione del contratto, arricchimento senza causa e violazione del dovere fiduciario. Tuttavia, la cifra richiesta a titolo di risarcimento non è stata specificata.

Correlato: "Incidente di terze parti" ha avuto un impatto su Gemini con 5.7 milioni di e-mail trapelate

Secondo il ricercatore di sicurezza informatica Graham Cluley, i dati rubati  inclusi informazioni non crittografate inclusi nomi di società, nomi utente, indirizzi di fatturazione, numeri di telefono, indirizzi e-mail, indirizzi IP e URL di siti Web da depositi di password.

A dicembre, LastPass ha ammesso che se i clienti avevano password principali deboli, gli aggressori potrebbero essere in grado di usare la forza bruta per indovinare questa password, consentendo loro di decrittografare i depositi.