Μια ομαδική αγωγή έχει κατατεθεί κατά της υπηρεσίας διαχείρισης κωδικών πρόσβασης LastPass μετά από παραβίαση δεδομένων από τον Αύγουστο του 2022.
Η ομαδική αγωγή ήταν κατατέθηκε με το περιφερειακό δικαστήριο της Μασαχουσέτης των ΗΠΑ στις 3 Ιανουαρίου, από έναν ενάγοντα που δεν κατονομάζεται, γνωστός μόνο ως «John Doe» και για λογαριασμό άλλων που βρίσκονται σε παρόμοια τοποθεσία.
Ισχυρίζεται ότι η παραβίαση δεδομένων του LastPass είχε ως αποτέλεσμα την κλοπή Bitcoin αξίας περίπου 53.000 $.
Ο ενάγων ισχυρίστηκε ότι άρχισε να συγκεντρώνει BTC τον Ιούλιο του 2022 και ενημέρωσε τον κύριο κωδικό πρόσβασης σε περισσότερους από 12 χαρακτήρες χρησιμοποιώντας ένα πρόγραμμα δημιουργίας κωδικών πρόσβασης, όπως προτείνεται από τις «βέλτιστες πρακτικές» του LastPass.
Αυτό έγινε για να καταστεί δυνατή η αποθήκευση των ιδιωτικών κλειδιών στο φαινομενικά ασφαλές θησαυροφυλάκιο πελατών LastPass.
Όταν κυκλοφόρησε η είδηση για την παραβίαση δεδομένων, ο ενάγων διέγραψε τα προσωπικά του στοιχεία από το θησαυροφυλάκιο των πελατών του. Το LastPass παραβιάστηκε τον Αύγουστο του 2022, με τον εισβολέα να κλέβει κρυπτογραφημένους κωδικούς πρόσβασης και άλλα δεδομένα, σύμφωνα με έναν Δεκέμβριο δήλωση της εταιρείας.
Παρά τη γρήγορη ενέργεια για τη διαγραφή των δεδομένων, φάνηκε να είναι πολύ αργά για τον ενάγοντα. Η μήνυση έγραφε:
«Ωστόσο, το Σαββατοκύριακο της Ημέρας των Ευχαριστιών του 2022 ή περίπου, το Bitcoin του Ενάγοντα κλάπηκε χρησιμοποιώντας τα ιδιωτικά κλειδιά που αποθήκευσε με τον κατηγορούμενο [LastPass].»
«Η παραβίαση δεδομένων του LastPass, χωρίς δική του ευθύνη, τον έχει εκθέσει στην κλοπή του Bitcoin του και τον έχει εκθέσει σε συνεχή κίνδυνο», προστίθεται.
Η μήνυση ισχυρίζεται ότι τα θύματα έχουν τεθεί σε αυξημένο ουσιαστικό κίνδυνο μελλοντικής απάτης και κατάχρησης των προσωπικών τους πληροφοριών, που μπορεί να χρειαστούν χρόνια για να εκδηλωθούν, να ανακαλυφθούν και να εντοπιστούν.
Το LastPass κατηγορείται για αμέλεια, αθέτηση σύμβασης, αδικαιολόγητο πλουτισμό και παράβαση υποχρέωσης καταπιστευματικότητας, ωστόσο, το ποσό που ζητήθηκε για αποζημίωση δεν διευκρινίστηκε.
Σχετίζεται με: Το «περιστατικό τρίτου μέρους» επηρέασε το Gemini με 5,7 εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου που διέρρευσαν
Σύμφωνα με τον ερευνητή κυβερνοασφάλειας Graham Cluley, τα κλεμμένα δεδομένα περιλαμβάνει μη κρυπτογραφημένες πληροφορίες, συμπεριλαμβανομένων των ονομάτων εταιρειών, των ονομάτων χρηστών, των διευθύνσεων χρέωσης, των αριθμών τηλεφώνου, των διευθύνσεων email, των διευθύνσεων IP και των διευθύνσεων URL ιστότοπων από θησαυροφυλάκια κωδικών πρόσβασης.
r/t LostPass;
Μετά το χακάρισμα του LastPass, ορίστε τι πρέπει να γνωρίζετε…https://t.co/8x47Vze0lb
— Graham Cluley (@gcluley) 4 Ιανουαρίου 2023
Τον Δεκέμβριο, το LastPass παραδέχτηκε ότι εάν οι πελάτες είχαν αδύναμους κύριους κωδικούς πρόσβασης, οι εισβολείς μπορεί να μπορούν να χρησιμοποιήσουν ωμή βία για να μαντέψουν αυτόν τον κωδικό πρόσβασης, επιτρέποντάς τους να αποκρυπτογραφήσουν τα θησαυροφυλάκια.