Er is een class action-rechtszaak aangespannen tegen wachtwoordbeheerservice LastPass na een datalek vanaf augustus 2022.
De class action was ingediend bij de Amerikaanse districtsrechtbank van Massachusetts op 3 januari door een naamloze eiser die alleen bekend staat als "John Doe" en namens anderen in vergelijkbare situaties.
Het beweert dat het datalek van LastPass heeft geleid tot de diefstal van ongeveer $ 53,000 aan Bitcoin (BTC).
De eiser beweerde dat hij in juli 2022 BTC begon te verzamelen en zijn hoofdwachtwoord had bijgewerkt naar meer dan 12 tekens met behulp van een wachtwoordgenerator, zoals aanbevolen door de LastPass "best practices".
Dit werd gedaan om de opslag van privésleutels in de ogenschijnlijk veilige LastPass-klantenkluis mogelijk te maken.
Toen het nieuws over het datalek bekend werd, verwijderde de eiser zijn privégegevens uit zijn klantenkluis. LastPass werd in augustus 2022 gehackt, waarbij de aanvaller versleutelde wachtwoorden en andere gegevens stal, volgens een december verklaring van het bedrijf.
Ondanks de snelle actie om de gegevens te verwijderen, bleek het voor eiseres te laat. De rechtszaak luidde:
"Op of rond het Thanksgiving-weekend van 2022 werd de Bitcoin van de eiser echter gestolen met behulp van de privésleutels die hij bij gedaagde [LastPass] had opgeslagen."
"De LastPass-gegevensinbreuk heeft hem, buiten zijn schuld, blootgesteld aan de diefstal van zijn Bitcoin en aan voortdurende risico's", voegde het eraan toe.
De rechtszaak beweert dat slachtoffers een verhoogd substantieel risico lopen op toekomstige fraude en misbruik van hun privé-informatie, wat jaren kan duren om zich te manifesteren, ontdekken en opsporen.
LastPass wordt beschuldigd van nalatigheid, contractbreuk, ongerechtvaardigde verrijking en schending van fiduciaire plichten. Het gevraagde bedrag aan schadevergoeding werd echter niet gespecificeerd.
Zie ook: 'Incident door derden' trof Gemini met 5.7 miljoen gelekte e-mails
Volgens cybersecurity-onderzoeker Graham Cluley zijn de gestolen gegevens omvat niet-versleutelde informatie, waaronder bedrijfsnamen, gebruikersnamen, factuuradressen, telefoonnummers, e-mailadressen, IP-adressen en website-URL's uit wachtwoordkluizen.
r/t LostPass?
Na de LastPass-hack, dit is wat je moet weten...https://t.co/8x47Vze0lb
— Graham Cluley (@gcluley) 4 januari 2023
In december gaf LastPass toe dat als klanten zwakke hoofdwachtwoorden hadden, de aanvallers brute kracht zouden kunnen gebruiken om dit wachtwoord te raden, waardoor ze de kluizen konden ontsleutelen.
Bron: https://cointelegraph.com/news/lastpass-data-breach-led-to-53k-in-bitcoin-stolen-lawsuit-alleges