È stata intentata un'azione legale di categoria contro il servizio di amministrazione delle password LastPass a seguito di una violazione delle informazioni nell'agosto 2022.
La causa di movimento di categoria era depositata all'interno del tribunale distrettuale degli Stati Uniti del Massachusetts il 3 gennaio da un querelante anonimo riconosciuto esclusivamente come "John Doe" e per conto di altri nello stesso luogo.
Si afferma che la violazione delle informazioni di LastPass abbia portato al furto del prezzo di circa $ 53,000 di Bitcoin.
Il querelante ha affermato di aver iniziato ad accumulare BTC nel luglio 2022 e di aver aggiornato la sua password di accesso a più di 12 caratteri utilizzando un generatore di password, come consigliato da LastPass "Finest Practices".
Ciò è stato ottenuto per consentire l'archiviazione delle chiavi personali all'interno dell'apparentemente sicuro caveau dell'acquirente di LastPass.
Quando le informazioni sulla violazione delle informazioni sono state violate, il querelante ha cancellato le sue informazioni personali dal caveau dell'acquirente. LastPass è stato violato nell'agosto 2022, con l'attaccante che ha rubato password crittografate e altri dati, secondo un'affermazione dell'organizzazione a dicembre.
Nonostante la rapida azione intrapresa per cancellare le informazioni, ha dato l'impressione che fosse troppo tardi per il querelante. La causa impara:
Tuttavia, durante o intorno al fine settimana del Ringraziamento 2022, querelante bitcoin è stato rubato utilizzando le chiavi personali che aveva in archivio presso l'imputato [LastPass].”
“La violazione delle informazioni di LastPass lo ha scoperto al furto del suo bitcoin senza colpa sua e lo ha messo in continuo pericolo”, ha aggiunto.
La causa sostiene che le vittime sono state poste a un elevato pericolo vitale di future frodi e uso improprio dei loro dati personali, che potrebbero richiedere anni per manifestarsi, scoprire ed esporre.
LastPass è stata accusata di negligenza, violazione del contratto, arricchimento senza causa e violazione dell'obbligo fiduciario, ma non ha specificato l'entità del danno che sta cercando.
associato: 5.7 milioni di e-mail trapelate sono state interessate da un "incidente di terze parti".
Secondo il ricercatore di sicurezza informatica Graham Cluley, si tratta di informazioni rubate contiene dati non crittografati, inclusi nomi di aziende, nomi utente, indirizzi di fatturazione, numeri di cellulare, indirizzi di posta elettronica, indirizzi IP e URL di siti Web da depositi di password.
r/t LostPass?
Dopo l'hacking di LastPass, ecco cosa vale la pena sapere...https://t.co/8x47Vze0lb
—Graham Cluley (@gcluley) Gennaio 4, 2023
A dicembre, LastPass ha ammesso che se i client hanno password di comprensione debole, gli aggressori potrebbero essere in grado di utilizzare attacchi di pressione bruta per indovinare quella password, che potrebbe consentire loro di decrittografare i depositi.
