Op 3 januari heeft een anoniem persoon een aanklacht ingediend bij een Amerikaanse rechtbank tegen wachtwoordbeheerder LastPass. Deze aanklacht is namens zichzelf en anderen die gedupeerd zijn. LastPass had vorig jaar te maken met een hack, en de aanklager zegt hierdoor Bitcoin te hebben verloren.
Zo’n aanklacht namens meerdere mensen die in dezelfde situatie zitten wordt in de Verenigde Staten een class action lawsuit genoemd. De aanklager noemt zichzelf John Doe, een naam die vaak als pseudoniem wordt gebruikt, en de aanklacht werd bij de rechtbank in Massachusetts ingediend.
John Doe beweert dat het datalek van LastPass heeft geleid tot de diefstal van ongeveer 53.000 dollar aan Bitcoin.
Wat is er gebeurd bij LastPass?
LastPass is een wachtwoordmanager voor zowel desktop als mobiel. Je kan hier wachtwoorden voor websites mee genereren en opslaan en deze worden weer beveiligd door een masterwachtwoord.
Al jouw wachtwoorden worden vervolgens opgeslagen in een digitale kluis. Bij dit soort diensten valt en staat alles met het vertrouwen om gegevens veilig te bewaren. Maar LastPass werd in 2022 twee keer gehackt, een keer in augustus en een keer in november. Bij het eerste incident was er niets gestolen en bij de tweede aanval aanvankelijk ook niet.
Tot LastPass vlak voor kerst tussen neus en lippen meldde dat de hackers vrijwel alle belangrijke data van gebruikers, dat wil zeggen URL’s, inlognamen en versleutelde wachtwoorden, hadden buitgemaakt. Toch was er volgens LastPass niet veel aan de hand.
Volgens LastPass hoeven gebruikers zich nog steeds geen zorgen te maken, omdat de wachtwoorden versleuteld zijn. Ze maken natuurlijk geen goede beurt als blijkt dat zelfs een wachtwoordbeheerder zijn eigen beveiliging niet helemaal op orde lijkt te hebben.
Private key Bitcoin opgeslagen met LastPass
Terug naar de aanklacht, hierin valt te lezen dat John Doe in juli 2022 Bitcoin begon te verzamelen en zijn hoofdwachtwoord had bijgewerkt naar meer dan 12 tekens met behulp van LastPass, zoals aanbevolen door de ‘best practices’ van de wachtwoordbeheerder.
Toen het nieuws over het datalek in augustus bekend werd, verwijderde de aanklager zijn privégegevens uit zijn kluis. Ondanks dat de aanklager snel na het bericht zijn gegevens had verwijderd, bleek dit te laat te zijn:
‘Op of rond het Thanksgiving-weekend van 2022 werd de Bitcoin van de eiser echter gestolen met behulp van de private keus die hij bij gedaagde [LastPass] had opgeslagen.’
Verder valt in de aanklacht te lezen: ‘Het datalek bij LastPass heeft hem, buiten zijn schuld, blootgesteld aan de diefstal van zijn Bitcoin en aan voortdurende risico’s.’
Hoogte schadevergoeding onbekend
De rechtszaak beweert dat slachtoffers een verhoogd risico lopen op toekomstige fraude en misbruik van hun privé-informatie. Het kan jaren duren voordat hier misbruik van gemaakt wordt, en dan nog eens jaren om dit te ontdekken of op te sporen.
LastPass wordt beschuldigd van nalatigheid, contractbreuk, ongerechtvaardigde verrijking en schending van fiduciaire plichten. Het is niet bekend welk bedrag de aanklager eist als schadevergoeding van LastPass.
Het is vrij logisch dat een dienst als LastPass het doelwit is van hackers, maar je zou verwachten dat ze zich daar iets beter tegen wapenen. Volgens Jeremi Gosney maakte LastPass in de laatste tien jaar zeven grote incidenten mee.
Hij zegt: ‘LastPass doet er alles aan om anderen de schuld te geven.’
The post LastPass aangeklaagd na gestolen Bitcoin door datalek appeared first on BLOX | Nieuws.