LastPass a été menacé de poursuites judiciaires à la suite d’une violation de données de plusieurs mois qui a commencé en août 2022 et a conduit à la fuite d’informations privées potentiellement de millions d’utilisateurs.
Une déclaration du PDG du gestionnaire de mots de passe, Karim Toubba, à l’époque, affirmait qu’il n’y avait pas de preuves que les données des clients étaient en danger, bien qu’une entreprise de cybersécurité et de criminalistique de premier plan ait été déployée.
Un avis de décembre 2022 annonçait qu' »un acteur malveillant inconnu a accédé à un environnement de stockage basé sur le cloud en exploitant les informations obtenues à partir de l’incident ».
Fuite de LastPass août 2022
Selon le plainte en recours collectif (s’ouvre dans un nouvel onglet) déposée auprès d’un tribunal du Massachusetts, les noms, noms d’utilisateur, adresses de facturation, adresses e-mail, numéros de téléphone et même les adresses IP utilisées pour accéder au service ont tous été mis à la disposition des malfaiteurs.
La dernière goutte d’eau dans le chapeau aurait pu être la fuite des données de coffre-fort non cryptées des clients, qui comprennent toutes sortes d’informations allant des noms d’utilisateur et mots de passe du site Web à d’autres notes sécurisées et données de formulaire.
Selon le procès, « LastPass a compris et apprécié la valeur de ces informations mais a choisi de les ignorer en n’investissant pas dans des mesures de sécurité des données adéquates ».
Le plaignant de l’affaire prétend avoir investi 53 000 $ dans Bitcoin depuis juillet 2022, qui a ensuite été «volé» plusieurs mois plus tard, ce qui a conduit à des rapports de police et du FBI.
Plus récemment, Toubba a rejoint l’entreprise Blog (s’ouvre dans un nouvel onglet) pour annoncer que « du code source et des informations techniques ont été volés [LastPass’s] environnement de développement », conduisant à une attaque sur le compte d’un employé qui a vu des identifiants et des clés volés. L’entreprise a depuis « désaffecté cet environnement dans son intégralité et reconstruit un nouvel environnement à partir de zéro ».
Alors que le demandeur de l’affaire a demandé un procès devant jury en ce qui concerne la fuite et leurs pertes ultérieures, il reste à voir quelles mesures (le cas échéant) seront prises contre LastPass.