LastPass-Datenverletzung führte zu gestohlenem Bitcoin im Wert von 53.000 US-Dollar, behauptet die Klage

0

Nach einer Datenschutzverletzung vom August 2022 wurde eine Sammelklage gegen den Passwortverwaltungsdienst LastPass eingereicht.

Die Sammelklage war abgelegt beim US-Bezirksgericht von Massachusetts am 3. Januar von einem namentlich nicht genannten Kläger, der nur als „John Doe“ bekannt ist, und im Namen von anderen in ähnlicher Lage.

Es wird behauptet, dass die Datenschutzverletzung von LastPass zum Diebstahl von Bitcoin im Wert von rund 53.000 US-Dollar geführt hat.

Der Kläger behauptete, er habe im Juli 2022 mit dem Sammeln von BTC begonnen und sein Master-Passwort mithilfe eines Passwortgenerators auf mehr als 12 Zeichen aktualisiert, wie in den „Best Practices“ von LastPass empfohlen.

Dies wurde getan, um die Speicherung privater Schlüssel im scheinbar sicheren LastPass-Kundentresor zu ermöglichen.

Als die Nachricht von der Datenschutzverletzung bekannt wurde, löschte der Kläger seine privaten Daten aus seinem Kundentresor. LastPass wurde im August 2022 gehackt, wobei der Angreifer laut einer Erklärung des Unternehmens vom Dezember verschlüsselte Passwörter und andere Daten stahl.

Trotz der schnellen Maßnahmen zur Löschung der Daten schien es für den Kläger zu spät zu sein. Die Klage lautete:

„Am oder um das Thanksgiving-Wochenende 2022 herum wurde jedoch das Bitcoin des Klägers unter Verwendung der privaten Schlüssel gestohlen, die er bei der Beklagten gespeichert hatte [LastPass].“

„Die LastPass-Datenverletzung hat ihn ohne eigenes Verschulden dem Diebstahl seines Bitcoins ausgesetzt und ihn einem anhaltenden Risiko ausgesetzt“, fügte er hinzu.

Die Klage behauptet, dass die Opfer einem erhöhten erheblichen Risiko für zukünftigen Betrug und Missbrauch ihrer privaten Informationen ausgesetzt wurden, deren Manifestation, Entdeckung und Aufdeckung Jahre dauern kann.

LastPass wird Fahrlässigkeit, Vertragsbruch, ungerechtfertigte Bereicherung und Verletzung der Treuepflicht vorgeworfen, die Höhe des geforderten Schadensersatzes wurde jedoch nicht genannt.

Verwandt: 5,7 Millionen durchgesickerte E-Mails waren von einem „Drittanbieter-Vorfall“ betroffen

Laut dem Cybersicherheitsforscher Graham Cluley handelt es sich um gestohlene Daten beinhaltet unverschlüsselte Informationen, einschließlich Firmennamen, Benutzernamen, Rechnungsadressen, Telefonnummern, E-Mail-Adressen, IP-Adressen und Website-URLs aus Passwort-Tresoren.

Im Dezember gab LastPass zu, dass die Angreifer, wenn Kunden schwache Master-Passwörter haben, möglicherweise Brute-Force-Angriffe anwenden können, um dieses Passwort zu erraten, wodurch sie die Tresore entschlüsseln können.