LastPass, Ağustos 2022’de başlayan ve potansiyel olarak milyonlarca kullanıcının özel bilgilerinin sızdırılmasına yol açan aylarca süren bir veri ihlalinin ardından yasal işlemle tehdit edildi.
Parola yöneticisi CEO’su Karim Toubba tarafından o sırada yapılan bir açıklama, önde gelen bir siber güvenlik ve adli tıp firmasının konuşlandırılmasına rağmen herhangi bir müşteri verisinin risk altında olduğuna dair kanıt bulunmadığını iddia etti.
Aralık 2022 tarihli bir duyuru, “bilinmeyen bir tehdit aktörünün olaydan elde edilen bilgilerden yararlanarak bulut tabanlı bir depolama ortamına eriştiğini” duyurdu.
LastPass Ağustos 2022 sızıntısı
Göre toplu dava şikayeti (yeni sekmede açılır) Massachusetts mahkemesinde dava açıldıktan sonra adlar, kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve hatta hizmete erişmek için kullanılan IP adreslerinin tümü suç işleyenlerin kullanımına sunuldu.
Bardağı taşıran son damla, müşterilerin web sitesi kullanıcı adları ve şifrelerinden diğer güvenli notlara ve form verilerine kadar her türlü bilgiyi içeren şifrelenmemiş kasa verilerinin sızdırılması olabilirdi.
Davaya göre, “LastPass bu Bilginin değerini anladı ve takdir etti, ancak yeterli veri güvenliği önlemlerine yatırım yapmayarak onu görmezden gelmeyi seçti”.
Davanın davacısı, Temmuz 2022’den bu yana Bitcoin’e 53.000 $ yatırım yaptığını ve daha sonra birkaç ay sonra “çalındığını” iddia ederek polis ve FBI raporlarına yol açtı.
Daha yakın zamanlarda, Toubba şirketin Blog (yeni sekmede açılır) “bazı kaynak kodlarının ve teknik bilgilerin çalındığını” duyurmak için [LastPass’s] geliştirme ortamı”, kimlik bilgilerinin ve anahtarların çalındığını gören bir çalışanın hesabına yapılan bir saldırıya yol açar. Şirket o zamandan beri “bu ortamı tamamen hizmet dışı bırakıyor ve yeni bir ortamı sıfırdan yeniden inşa ediyor.”
Davacı, sızıntı ve müteakip kayıpları ile ilgili olarak jürili yargılama talebinde bulunurken, LastPass’a (varsa) karşı ne tür bir işlem yapılacağı henüz görülmemektedir.