Ağustos 2022’de meydana gelen bir veri ihlalinin ardından parola yönetim hizmeti LastPass’a toplu dava açıldı.
Toplu dava 3 Ocak’ta yalnızca “John Doe” olarak bilinen isimsiz bir davacı tarafından açıldı. Benzer durumdaki diğer kişilerin de hesapa katıldığı dava ABD Massachusetts bölge mahkemesinde gerçekleşecek.
LastPass veri ihlalinin yaklaşık 53.000 dolar değerinde Bitcoin (BTC) çalınmasına neden olduğunu iddia ediyor.
Davacı, Temmuz 2022’de BTC biriktirmeye başladığını ve LastPass “en iyi uygulama” olarak tanımladığı bir şifre oluşturucu kullanarak ana şifresini 12 karakterden fazla olacak şekilde güncellediğini iddia etti.
Bu, LastPass müşteri şifre kasasında özel anahtarların depolanmasını sağlamak için yapılmıştı.
Veri ihlali haberi geldiğinde, davacı özel bilgilerini müşteri kasasından sildi. Şirketten Aralık ayında yapılan açıklamaya göre LastPass, saldırganın şifrelenmiş şifreleri ve diğer verileri çalmasıyla Ağustos 2022’de saldırıya uğradı.
Verileri silmek için hızlı harekete rağmen, davacı için çok geç görünüyordu.
“However, on or around Thanksgiving weekend of 2022, Plaintiff’s Bitcoin was stolen using the private keys he stored with Defendant [LastPass].”
“LastPass Veri İhlali, kendi hatası olmaksızın, onu Bitcoin’lerimin çalınmasına ve sürekli riske maruz bırakmasına neden oldu” diye ekledi.
Dava, mağdurların, ortaya çıkması, keşfedilmesi ve tespit edilmesi yıllar alabilen, gelecekte dolandırıcılık ve özel bilgilerinin kötüye kullanılması konusunda önemli ölçüde risk altına alındığını iddia ediyor.
LastPass, ihmal, sözleşmeyi ihlal, sebepsiz zenginleşme ve mutemet görevini ihlal ile suçlanıyor. Ancak tazminatta aranan rakam henüz belirtilmedi.
Related: ‘Third-party incident’ impacted Gemini with 5.7 million emails leaked
Siber güvenlik araştırmacısı Graham Cluley’e göre çalınan veriler, şirket adları, kullanıcı adları, fatura adresleri, telefon numaraları, e-posta adresleri, IP adresleri ve şifre kasalarından web sitesi URL’leri gibi şifrelenmemiş bilgileri içeriyordu.
r/t LostPass?
After the LastPass hack, here’s what you need to know…https://t.co/8x47Vze0lb
— Graham Cluley (@gcluley) January 4, 2023
Aralık ayında LastPass, müşterilerin Ana Parolaları zayıfsa, saldırganların kaba kuvvet kullanarak bu parolayı tahmin ederek kasaların şifresini çözmelerine olanak tanıyabileceğini kabul etti.
Toplu dava 3 Ocak’ta yalnızca “John Doe” olarak bilinen isimsiz bir davacı tarafından açıldı. Benzer durumdaki diğer kişilerin de hesapa katıldığı dava ABD Massachusetts bölge mahkemesinde gerçekleşecek.
LastPass veri ihlalinin yaklaşık 53.000 dolar değerinde Bitcoin (BTC) çalınmasına neden olduğunu iddia ediyor.
Davacı, Temmuz 2022’de BTC biriktirmeye başladığını ve LastPass “en iyi uygulama” olarak tanımladığı bir şifre oluşturucu kullanarak ana şifresini 12 karakterden fazla olacak şekilde güncellediğini iddia etti.
Bu, LastPass müşteri şifre kasasında özel anahtarların depolanmasını sağlamak için yapılmıştı.
Veri ihlali haberi geldiğinde, davacı özel bilgilerini müşteri kasasından sildi. Şirketten Aralık ayında yapılan açıklamaya göre LastPass, saldırganın şifrelenmiş şifreleri ve diğer verileri çalmasıyla Ağustos 2022’de saldırıya uğradı.
Verileri silmek için hızlı harekete rağmen, davacı için çok geç görünüyordu.
“However, on or around Thanksgiving weekend of 2022, Plaintiff’s Bitcoin was stolen using the private keys he stored with Defendant [LastPass].”
“LastPass Veri İhlali, kendi hatası olmaksızın, onu Bitcoin’lerimin çalınmasına ve sürekli riske maruz bırakmasına neden oldu” diye ekledi.
Dava, mağdurların, ortaya çıkması, keşfedilmesi ve tespit edilmesi yıllar alabilen, gelecekte dolandırıcılık ve özel bilgilerinin kötüye kullanılması konusunda önemli ölçüde risk altına alındığını iddia ediyor.
LastPass, ihmal, sözleşmeyi ihlal, sebepsiz zenginleşme ve mutemet görevini ihlal ile suçlanıyor. Ancak tazminatta aranan rakam henüz belirtilmedi.
Related: ‘Third-party incident’ impacted Gemini with 5.7 million emails leaked
Siber güvenlik araştırmacısı Graham Cluley’e göre çalınan veriler, şirket adları, kullanıcı adları, fatura adresleri, telefon numaraları, e-posta adresleri, IP adresleri ve şifre kasalarından web sitesi URL’leri gibi şifrelenmemiş bilgileri içeriyordu.
r/t LostPass?
After the LastPass hack, here’s what you need to know…https://t.co/8x47Vze0lb
— Graham Cluley (@gcluley) January 4, 2023
Aralık ayında LastPass, müşterilerin Ana Parolaları zayıfsa, saldırganların kaba kuvvet kullanarak bu parolayı tahmin ederek kasaların şifresini çözmelerine olanak tanıyabileceğini kabul etti.