LastPass pozwany za cyberatak. Czy firmę czeka upadek?

Jeden z klientów LastPass twierdzi, że stracił Bitcoiny o wartości do 53 000 dol. Powód: wyciek danych z LastPass, dzięki któremu atakujący przejął cyfrowe aktywa klienta korzystającego z menedżera haseł.

LastPass ma przed sobą trudne miesiące / Fot. Materiały własne

LastPass ma przed sobą trudne miesiące / Fot. Materiały własne

Firmie LastPass grożono podjęciem kroków prawnych w związku ze sprawą trwającą już od miesięcy, która dotyczy naruszeń danych. Do wycieku doszło w sierpniu 2022 r. i potencjalnie miliony prywatnych informacji użytkowników trafiło w ręce cyberprzestępców.

Karim Toubba, dyrektor generalny LastPass, wydał oświadczenie, w którym przekonuje, że w sierpniu, gdy doszło do ataku, nie stwierdzono dowodu na to, że jakiekolwiek dane klientów były zagrożone. Firma wynajęła jednak specjalistów ds. cyberbezpieczeństwa i kryminalistyki, którzy mieli zająć się tym problemem.

Zobacz również:

  • Haker wykradł hasła z LastPass. Potężny cios wizerunkowy
  • Hasła iCloud otrzymują wsparcie dla 2FA na Windowsie
  • Ransomware aktywny jesienią

Sprawdź: Filetracker

W grudniu 2022 r. ostatecznie dostawca menedżera haseł poinformował, że "nieznany cyberprzestępca uzyskał dostęp do środowiska pamięci masowej w chmurze, wykorzystując informacje uzyskane w wyniku incydentu". Pisaliśmy na ten temat w grudniu, informując że LastPass przyznał się w końcu, iż do wycieku faktycznie doszło.

Pozew zbiorowy w drodze

Zgodnie ze skargą z powództwa zbiorowego złożonego w stanie Massachusetts wszystkie nazwiska, nazwy użytkowników, adresy rozliczeniowe, adresy e-mail, numery telefonów, a także adresy IP używane do uzyskiwania dostępu do usługi trafiły w ręce hakera lub hakerów.

Możliwe, że doszło również do wycieku niezaszyfrowanych danych klientów, które obejmują wszelkiego rodzaju informacje, od nazw użytkowników i haseł do witryn internetowych, po zabezpieczane notatki oraz dane uzupełniające formularze.

LastPass, zgodnie z pozwem, rozumiał i doceniał wartość tych informacji, ale zdecydował się zignorować sprawę, nie inwestując w odpowiednie środki zabezpieczające dane. Powód twierdzi, że od lipca 2022 r. zainwestował w Bitcoina ok. 53 000 dolarów i przechowywał dane do swojego portfela krypto w menedżerze haseł LastPass. Dane te miały trafić jednak w ręce hakera, który wykradł aktywa wspomnianego użytkownika. Sprawa szybko trafiła na policję, a nawet do FBI.

LastPass ma do czynienia z ogromną stratą wizerunkową

Pomijając fakt, że doszło do samego wycieku danych i wiele osób ma powody do niezadowolenia, dla LastPass taki stan rzeczy jest wyjątkowo krzywdzący. Firma oferuje bowiem menedżery haseł, podkreślając że są to bardzo bezpieczne rozwiązania do ochrony loginów i haseł. Skoro więc w tego typu usłudze dochodzi do cyberataku, gdzie tak naprawdę możemy bezpiecznie przechowywać swoje dane? Bardzo możliwe, że wielu użytkowników straci zaufanie do marki i przeniesie swoje hasła w inne miejsca. Samej firmie trudno będzie też pozyskiwać nowych klientów, jeśli ci będą tylko wiedzieć o incydencie z zeszłego roku.

Zobacz: HD TUne

Niedawno Toubba na firmowym blogu napisał, że "niektóre złośliwe kody źródłowe i informacje techniczne zostały skradzione ze środowiska programistycznego LastPass". Od tego czasu firma całkowicie likwiduje to środowisko i buduje infrastrukturę od podstaw.

Na pewno trzeba przyznać, że dostawca menedżera haseł potraktował sprawę poważnie, ale... mógł zrobić to jednak wyraźnie wcześniej.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200