Wachtwoordmanager LastPass is in de Verenigde Staten aangeklaagd wegens de diefstal van gevoelige klantgegevens, waaronder versleutelde wachtwoorden, uit een cloudomgeving waar het bedrijf gebruik van maakte. Volgens de aanklacht heeft LastPass de digitale beveiliging genegeerd waardoor het datalek mogelijk was.

Het gaat om een "class action" rechtszaak waar andere LastPass-gebruikers zich bij kunnen aansluiten.

In augustus werd bekend dat de broncode en technische informatie uit de ontwikkelomgeving van LastPass bij een aanval was buitgemaakt. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart.

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, e-mailadres, telefoonnummers en ip-adressen van gebruikers. Daarnaast wist de aanvaller een back-up met kluisdata van klanten te stelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. Zo kreeg de aanvaller versleutelde gebruikersnamen, wachtwoorden en notities in handen.

De klager in deze zaak stelt dat hij LastPass sinds 2016 gebruikt en regelmatig zijn wachtwoorden wijzigde. Na het datalek werden echter zijn bitcoins gestolen via de private keys die hij in de LastPass-wachtwoordmanager had opgeslagen. "Hoewel de exacte oorzaak(en) van het datalek onduidelijk blijft, is er geen twijfel dat de gedaagde de privégegevens van de klager niet adequaat heeft beschermd en niet de tools heeft gebruikt om dergelijke privégegevens te beschermen", aldus de aanklacht. De klager wil onder andere een vergoeding van de geleden schade.

Bron; Security