Bitcoin

La violation de données LastPass a entraîné le vol de 53 XNUMX $ de Bitcoin, selon une poursuite

01/05/2023
Nouvelles Bitcoin Ethereum

Un recours collectif a été déposé contre le service de gestion de mots de passe LastPass suite à une violation de données d'août 2022.

Le recours collectif a été déposé avec le tribunal de district des États-Unis du Massachusetts le 3 janvier par un demandeur anonyme connu uniquement sous le nom de "John Doe" et au nom d'autres personnes dans la même situation.

Il allègue que la violation de données de LastPass a entraîné le vol d'environ 53,000 XNUMX $ de Bitcoin (BTC).

Le demandeur a affirmé qu'il avait commencé à accumuler des BTC en juillet 2022 et avait mis à jour son mot de passe principal à plus de 12 caractères à l'aide d'un générateur de mot de passe, comme recommandé par les «meilleures pratiques» de LastPass.

Cela a été fait pour permettre le stockage des clés privées dans le coffre-fort client apparemment sécurisé de LastPass.

Lorsque la nouvelle de la violation de données a éclaté, le plaignant a supprimé ses informations privées de son coffre-fort client. LastPass a été piraté en août 2022, l'attaquant volant des mots de passe cryptés et d'autres données, selon un décembre déclaration de l'entreprise.

Malgré l'action rapide pour supprimer les données, il semblait être trop tard pour le plaignant. Le procès disait:

"Cependant, pendant ou autour du week-end de Thanksgiving de 2022, le Bitcoin du demandeur a été volé à l'aide des clés privées qu'il a stockées avec le défendeur [LastPass]."

"La violation de données LastPass l'a, sans faute de sa part, exposé au vol de son Bitcoin et l'a exposé à un risque continu", a-t-il ajouté.

La poursuite affirme que les victimes ont été exposées à un risque substantiel accru de fraude future et d'utilisation abusive de leurs informations privées, ce qui peut prendre des années à se manifester, à être découvert et détecté.

LastPass est accusé de négligence, de rupture de contrat, d'enrichissement sans cause et de manquement à une obligation fiduciaire. Toutefois, le montant réclamé en dommages-intérêts n'a pas été précisé.

Connexe: Un "incident de tiers" a eu un impact sur Gemini avec 5.7 millions d'e-mails divulgués

Selon le chercheur en cybersécurité Graham Cluley, les données volées inclut informations non cryptées, y compris les noms d'entreprise, les noms d'utilisateur, les adresses de facturation, les numéros de téléphone, les adresses e-mail, les adresses IP et les URL de sites Web des coffres-forts de mots de passe.

En décembre, LastPass a admis que si les clients avaient des mots de passe principaux faibles, les attaquants pourraient être en mesure d'utiliser la force brute pour deviner ce mot de passe, leur permettant de déchiffrer les coffres.