До Окружного суду штату Массачусетс США 3 січня було подано груповий позов проти сервісу зберігання паролів LastPass.
У позові стверджується, що витік даних LastPass призвів до крадіжки біткоїнів (BTC) на суму близько $53 000.
Позивач стверджує, що почав накопичувати BTC у липні 2022 року і оновив свій майстер-пароль до більш ніж 12 символів за допомогою генератора паролів відповідно до рекомендацій LastPass.
Це було зроблено для того, щоб можна було зберігати закриті ключі в, здавалося б, безпечному сховищі клієнтів LastPass.
Коли стало відомо про витік даних, позивач видалив свою особисту інформацію зі сховища свого клієнта. Згідно з грудневою заявою компанії, LastPass було зламано в серпні 2022 року, коли зловмисник вкрав зашифровані паролі та інші дані.
Однак у позові говориться, що нівідомі викрали активи користувачів LastPass у вихідні дні Подяки 2022 року.
Позивачі звинувачують LastPass у недбалості, порушенні контракту, необґрунтованому збагаченні та порушенні фідуціарних обов’язків. Однак розмір компенсації, яку просять, не уточнюють.
За словами дослідника кібербезпеки Грема Клулі, вкрадені дані містять незашифровану інформацію про користувачів, включно з назвами компаній, іменами користувачів, платіжними адресами, номерами телефонів, адресами електронної пошти, IP-адресами та URL-адресами веб-сайтів зі сховищ паролів.
У грудні LastPass визнав, що якщо у клієнтів слабкі майстер-паролі, зловмисники можуть використовувати програми перебору методом грубої сили, щоб вгадати цей пароль, що дасть їм змогу розшифрувати сховища.