Bitcoin

Ang paglabag sa data ng LastPass ay humantong sa $53K sa Bitcoin na nanakaw, sinasabi ng demanda

01/05/2023
Balita ng Ethereum ng Bitcoin

Nagsampa ng class-action lawsuit laban sa serbisyo sa pamamahala ng password na LastPass kasunod ng paglabag sa data mula Agosto 2022.

Ang aksyon ng klase ay naisaayos sa hukuman ng distrito ng Estados Unidos ng Massachusetts noong Ene. 3 ng isang hindi pinangalanang nagsasakdal na kilala lamang bilang "John Doe" at sa ngalan ng iba pang katulad na lokasyon.

Sinasabi nito na ang data breach ng LastPass ay nagresulta sa pagnanakaw ng humigit-kumulang $53,000 na halaga ng Bitcoin (BTC).

Sinabi ng nagsasakdal na nagsimula siyang mag-ipon ng BTC noong Hulyo 2022 at na-update ang kanyang master password sa higit sa 12 character gamit ang generator ng password, gaya ng inirerekomenda ng LastPass na "pinakamahuhusay na kagawian."

Ginawa ito upang paganahin ang pag-imbak ng mga pribadong key sa tila secure na LastPass customer vault.

Nang pumutok ang balita ng paglabag sa data, tinanggal ng nagsasakdal ang kanyang pribadong impormasyon mula sa vault ng kanyang customer. Na-hack ang LastPass noong Agosto 2022, kung saan ang umaatake ay nagnanakaw ng mga naka-encrypt na password at iba pang data, ayon sa isang Disyembre pahayag mula sa kumpanya.

Sa kabila ng mabilis na pagkilos upang tanggalin ang data, lumilitaw na huli na para sa nagsasakdal. Nabasa ang demanda:

“Gayunpaman, sa o sa paligid ng Thanksgiving weekend ng 2022, ninakaw ang Bitcoin ng Nagsasakdal gamit ang mga pribadong key na inimbak niya kasama ng Defendant [LastPass].”

"Ang LastPass Data Breach ay, sa walang kasalanan ng kanyang sarili, inilantad siya sa pagnanakaw ng kanyang Bitcoin at inilantad siya sa patuloy na panganib," idinagdag nito.

Sinasabi ng suit na ang mga biktima ay inilagay sa mas malaking panganib ng pandaraya sa hinaharap at maling paggamit ng kanilang pribadong impormasyon, na maaaring tumagal ng mga taon upang mahayag, matuklasan at matukoy.

Ang LastPass ay inaakusahan ng kapabayaan, paglabag sa kontrata, hindi makatarungang pagpapayaman at paglabag sa tungkulin ng fiduciary. Gayunpaman, hindi tinukoy ang bilang na hinahangad na mga pinsala.

Nauugnay: Naapektuhan ng 'third-party incident' si Gemini na may 5.7 milyong email na nag-leak

Ayon sa cybersecurity researcher na si Graham Cluley, ang ninakaw na data Kabilang hindi naka-encrypt na impormasyon kabilang ang mga pangalan ng kumpanya, user name, billing address, numero ng telepono, email address, IP address at URL ng website mula sa mga password vault.

Noong Disyembre, inamin ng LastPass na kung ang mga customer ay may mahinang Master Password, ang mga umaatake ay maaaring gumamit ng malupit na puwersa upang hulaan ang password na ito, na nagpapahintulot sa kanila na i-decrypt ang mga vault.