LastPass sta affrontando una causa intentata presso il tribunale distrettuale degli Stati Uniti del Massachusetts il 3 gennaio. La causa sostiene che LastPass non è riuscita a proteggere adeguatamente i dati degli utenti durante una violazione nell'agosto 2022.
Negli ultimi anni, i servizi di gestione delle password sono diventati essenziali per gli individui e le aziende che desiderano proteggere i propri account online e proteggersi dalle minacce informatiche. Tuttavia, anche i servizi più affidabili e fidati possono essere vittime di violazioni dei dati, come dimostrato dalla recente azione legale contro LastPass.
Il contenzioso è stato depositato da un querelante noto solo come "John Doe" e per conto di altri in una situazione simile. Il furto di oltre $ 53,000 di bitcoin (BTC) si è verificato a causa della violazione dei dati di LastPass.
Secondo il querelante, ha iniziato ad accumulare bitcoin nel luglio 2022 e ha aggiornato la sua password principale a più di 12 caratteri utilizzando un generatore di password consigliato dalle "pratiche squisite" di LastPass. Ciò è stato fatto per consentire l'archiviazione delle chiavi private all'interno del caveau del cliente LastPass apparentemente sicuro.
Il denunciante ha cancellato le sue informazioni private dal caveau del cliente quando è trapelata la notizia dell'incidente con i dati. Secondo una dichiarazione della società a dicembre, un hacker ha rubato password crittografate e altri dati da LastPass nell'agosto 2022.
Nonostante la rapida cancellazione dei materiali, sembrava che l'attore avesse superato il punto di non ritorno. Ha anche affermato che la violazione dei dati di LastPass lo aveva sottoposto alla perdita dei suoi BTC, esponendolo a ulteriori rischi non per colpa sua.
Le vittime sono suscettibili di frode nel futuro potenziale
La causa afferma che le vittime ora affrontano un rischio significativamente maggiore di future frodi e sfruttamento delle loro informazioni personali, rischi che potrebbero richiedere anni per materializzarsi, trovare e identificare.
LastPass è stato accusato di negligenza, violazione del contratto, arricchimento senza causa e violazione dell'obbligo fiduciario. Tuttavia, l'importo richiesto a titolo di risarcimento non è stato reso noto.
L'esperto di sicurezza informatica spiega ulteriormente la posta in gioco
Graham Cluley, un esperto di sicurezza informatica, afferma che i dati non crittografati rubati dai depositi di password includono nomi aziendali, nomi utente, indirizzi di fatturazione, numeri di telefono, indirizzi e-mail, indirizzi IP e URL di siti Web.
Spiega nel suo blog che gli hacker ora hanno accesso alle informazioni di contatto delle vittime e ai loro siti web preferiti.
Questa è una conoscenza importante per chiunque cerchi di phishing qualcuno per ulteriori informazioni perché potrebbe facilmente impersonare uno dei siti web che visiti e inviarti un'e-mail di phishing.
Inoltre, anche sapere quali siti Web visitano potrebbe rivelare informazioni personali su di loro che preferirebbero mantenere segrete.
Inoltre, è possibile che le vittime abbiano salvato i collegamenti di reimpostazione della password per questi siti Web nel loro gestore di password che potrebbero non essere scaduti, così come altri dati sensibili o token negli URL dei loro siti Web che non vorrebbero finissero nelle mani di utenti malintenzionati.
Fonte: https://crypto.news/lastpass-hit-with-lawsuit-over-alleged-53k-in-bitcoin-theft/