Bitcoin

Pelanggaran data LastPass menyebabkan Bitcoin dicuri sebesar $53K, menurut tuntutan hukum

01/05/2023
Berita Bitcoin Ethereum

Gugatan class action telah diajukan terhadap layanan manajemen kata sandi LastPass menyusul pelanggaran data dari Agustus 2022.

Tindakan kelas itu mengajukan dengan pengadilan distrik Amerika Serikat di Massachusetts pada 3 Januari oleh penggugat yang tidak disebutkan namanya yang hanya dikenal sebagai "John Doe" dan atas nama orang lain yang berkedudukan serupa.

Ia menuduh bahwa pelanggaran data LastPass telah mengakibatkan pencurian Bitcoin senilai sekitar $53,000 (BTC).

Gambar

Penggugat mengklaim dia mulai mengumpulkan BTC pada Juli 2022 dan memperbarui kata sandi masternya menjadi lebih dari 12 karakter menggunakan pembuat kata sandi, seperti yang direkomendasikan oleh "praktik terbaik" LastPass.

Ini dilakukan untuk mengaktifkan penyimpanan kunci pribadi di brankas pelanggan LastPass yang tampaknya aman.

Ketika berita tentang pelanggaran data tersiar, penggugat menghapus informasi pribadinya dari brankas pelanggannya. LastPass diretas pada Agustus 2022, dengan penyerang mencuri kata sandi terenkripsi dan data lainnya, menurut Desember pernyataan dari perusahaan.

Terlepas dari tindakan cepat untuk menghapus data, tampaknya sudah terlambat bagi penggugat. Gugatan itu berbunyi:

“Namun, pada atau sekitar akhir pekan Thanksgiving tahun 2022, Bitcoin Penggugat dicuri menggunakan kunci pribadi yang dia simpan dengan Tergugat [LastPass].”

“Pelanggaran Data LastPass, bukan karena kesalahannya sendiri, membuatnya terkena pencurian Bitcoin-nya dan membuatnya terus berisiko,” tambahnya.

Gugatan tersebut mengklaim bahwa para korban telah ditempatkan pada risiko besar penipuan di masa depan dan penyalahgunaan informasi pribadi mereka, yang mungkin membutuhkan waktu bertahun-tahun untuk terwujud, ditemukan, dan dideteksi.

LastPass dituduh melakukan kelalaian, pelanggaran kontrak, pengayaan yang tidak adil, dan pelanggaran kewajiban fidusia. Namun, angka yang dicari dalam kerusakan tidak ditentukan.

Terkait: 'Insiden pihak ketiga' memengaruhi Gemini dengan 5.7 juta email bocor

Menurut peneliti cybersecurity Graham Cluley, data yang dicuri termasuk informasi tidak terenkripsi termasuk nama perusahaan, nama pengguna, alamat penagihan, nomor telepon, alamat email, alamat IP, dan URL situs web dari brankas kata sandi.

Pada bulan Desember, LastPass mengakui bahwa jika pelanggan memiliki Kata Sandi Utama yang lemah, penyerang mungkin dapat menggunakan kekerasan untuk menebak kata sandi ini, memungkinkan mereka mendekripsi brankas.