Se presentó una demanda colectiva contra el servicio de administración de contraseñas LastPass luego de una violación de datos de agosto de 2022.
La demanda colectiva fue presentada ante el tribunal de distrito de EE. UU. de Massachusetts el 3 de enero por un demandante anónimo conocido solo como “John Doe” y en nombre de otros en una situación similar.
Alega que la violación de datos de LastPass resultó en el robo de alrededor de $ 53,000 en Bitcoin.
El demandante afirmó que comenzó a acumular BTC en julio de 2022 y actualizó su contraseña maestra a más de 12 caracteres utilizando un generador de contraseñas, según lo recomendado por las “mejores prácticas” de LastPass.
Esto se hizo para habilitar el almacenamiento de claves privadas en la bóveda de cliente de LastPass aparentemente segura.
Cuando se supo la noticia de la violación de datos, el demandante eliminó su información privada de la bóveda de su cliente. LastPass fue pirateado en agosto de 2022 y el atacante robó contraseñas cifradas y otros datos, según un comunicado de diciembre de la empresa.
A pesar de la acción rápida para eliminar los datos, parecía ser demasiado tarde para el demandante. La demanda decía:
“Sin embargo, en o alrededor del fin de semana de Acción de Gracias de 2022, el Bitcoin del Demandante fue robado usando las claves privadas que almacenó con el Demandado. [LastPass].”
“La violación de datos de LastPass, sin culpa propia, lo expuso al robo de su Bitcoin y lo expuso a un riesgo continuo”, agregó.
La demanda afirma que las víctimas se han visto expuestas a un mayor riesgo sustancial de fraude y uso indebido de su información privada en el futuro, lo que puede tardar años en manifestarse, descubrirse y detectarse.
LastPass está siendo acusado de negligencia, incumplimiento de contrato, enriquecimiento injusto e incumplimiento del deber fiduciario, sin embargo, no se especificó la cifra que se busca en daños.
Relacionado: El ‘incidente de terceros’ afectó a Gemini con 5,7 millones de correos electrónicos filtrados
Según el investigador de seguridad cibernética Graham Cluley, los datos robados incluyen información sin cifrar, incluidos nombres de empresas, nombres de usuarios, direcciones de facturación, números de teléfono, direcciones de correo electrónico, direcciones IP y URL de sitios web de bóvedas de contraseñas.
r/t ¿Paso perdido?
Después del hackeo de LastPass, esto es lo que necesita saber… https://t.co/8x47Vze0lb
—Graham Cluley (@gcluley) 4 de enero de 2023
En diciembre, LastPass admitió que si los clientes tenían contraseñas maestras débiles, los atacantes podrían usar la fuerza bruta para adivinar esta contraseña, lo que les permitiría descifrar las bóvedas.