A seguito di una violazione dei dati avvenuta nell'agosto del 2022, è stata avviata un'azione legale collettiva contro LastPass, un servizio di gestione delle password.

La class action è stata presentata il 3 gennaio presso il tribunale distrettuale del Massachusetts da un querelante senza nome, noto solo come "John Doe", in rappresentanza sua e di altre persone che si trovano nella stessa situazione.

La denuncia sostiene che la violazione dei dati di LastPass ha portato al furto di circa 53.000 $ in Bitcoin.

Il querelante sostiene di aver iniziato ad accumulare BTC nel luglio del 2022 e di aver aggiornato la sua password principale a più di 12 caratteri utilizzando un generatore di password, come raccomandato dalle "migliori pratiche" di LastPass.

Tutto ciò è stato fatto per consentire l'archiviazione delle chiavi private, apparentemente sicura, nel caveau di LastPass.

Alla notizia della violazione dei dati, il querelante ha cancellato le sue informazioni private dal suo archivio clienti. LastPass è stato violato nell'agosto del 2022 e l'aggressore ha rubato password criptate e altri dati, secondo una dichiarazione rilasciata a dicembre dall'azienda.

Nonostante la rapidità con cui sono stati cancellati i dati, per il querelante sembrava essere troppo tardi. La denuncia riporta:

"Tuttavia, intorno al weekend del Ringraziamento del 2022, i Bitcoin del querelante sono stati rubati utilizzando le chiavi private che aveva memorizzato presso il Defendant [LastPass]".

"La violazione dei dati di LastPass lo ha esposto, senza alcuna colpa, al furto dei suoi Bitcoin e a rischi continui", ha aggiunto.

La causa sostiene che le vittime sono state esposte a un maggiore rischio di frodi future e di uso improprio delle loro informazioni private, che potrebbero richiedere anni per verificarsi, essere scoperte e individuate.

LastPass è accusata di negligenza, violazione del contratto, arricchimento senza causa e violazione del dovere fiduciario, ma non è stata specificata la cifra richiesta per i danni.

Secondo Graham Cluley, ricercatore di cybersicurezza, i dati rubati includono informazioni non criptate tra cui nomi di aziende, nomi di utenti, indirizzi di fatturazione, numeri di telefono, indirizzi e-mail, indirizzi IP e URL di siti web provenienti da archivi di password.

r/t LostPass?

Dopo l'hack di LastPass, ecco cosa devi sapere...https://t.co/8x47Vze0lb

— Graham Cluley (@gcluley) January 4, 2023

A dicembre LastPass ha ammesso che se i clienti avevano Master Password deboli, gli aggressori potevano essere in grado di usare il brute force per indovinarle, consentendoli di decriptare i caveau.