Mae achos cyfreithiol gweithredu dosbarth wedi'i ffeilio yn erbyn gwasanaeth rheoli cyfrinair LastPass yn dilyn toriad data o Awst 2022.
Gweithred y dosbarth oedd ffeilio gyda llys ardal Massachusetts yn yr Unol Daleithiau ar Ionawr 3 gan achwynydd dienw o'r enw “John Doe” yn unig ac ar ran eraill sydd wedi'u lleoli yn yr un modd.
Mae'n honni bod torri data LastPass wedi arwain at ddwyn gwerth tua $53,000 o Bitcoin (BTC).
Honnodd yr achwynydd iddo ddechrau cronni BTC ym mis Gorffennaf 2022 a diweddaru ei brif gyfrinair i fwy na 12 nod gan ddefnyddio generadur cyfrinair, fel yr argymhellir gan y LastPass “arferion gorau.”
Gwnaethpwyd hyn i alluogi storio allweddi preifat yn y gladdgell cwsmer LastPass sy'n ymddangos yn ddiogel.
Pan ddaeth y newyddion am y toriad data, fe wnaeth yr achwynydd ddileu ei wybodaeth breifat o'i gladdgell cwsmer. Cafodd LastPass ei hacio ym mis Awst 2022, gyda'r ymosodwr yn dwyn cyfrineiriau wedi'u hamgryptio a data arall, yn ôl mis Rhagfyr datganiad gan y cwmni.
Er gwaethaf y camau cyflym i ddileu'r data, roedd yn ymddangos yn rhy hwyr i'r achwynydd. Darllenodd yr achos cyfreithiol:
“Fodd bynnag, ar neu o gwmpas penwythnos Diolchgarwch 2022, cafodd Bitcoin Plaintiff ei ddwyn gan ddefnyddio’r allweddi preifat yr oedd yn eu storio gyda’r Diffynnydd [LastPass].”
“Mae Torri Data LastPass, heb unrhyw fai arno’i hun, wedi ei amlygu i ladrad ei Bitcoin a’i amlygu i risg barhaus,” ychwanegodd.
Mae’r siwt yn honni bod dioddefwyr wedi’u rhoi mewn mwy o berygl sylweddol o dwyll yn y dyfodol a chamddefnyddio eu gwybodaeth breifat, a all gymryd blynyddoedd i’w amlygu, ei ddarganfod a’i ganfod.
Mae LastPass yn cael ei gyhuddo o esgeulustod, tor-cytundeb, cyfoethogi anghyfiawn a thorri dyletswydd ymddiriedol. Fodd bynnag, ni nodwyd y ffigur a geisiwyd mewn iawndal.
Cysylltiedig: Effeithiodd 'digwyddiad trydydd parti' ar Gemini gyda 5.7 miliwn o e-byst wedi'u gollwng
Yn ôl ymchwilydd cybersecurity Graham Cluley, mae'r data wedi'i ddwyn yn cynnwys gwybodaeth heb ei hamgryptio gan gynnwys enwau cwmnïau, enwau defnyddwyr, cyfeiriadau bilio, rhifau ffôn, cyfeiriadau e-bost, cyfeiriadau IP ac URLau gwefannau o gromgelloedd cyfrinair.
r/t LostPass?
Ar ôl y darnia LastPass, dyma beth sydd angen i chi ei wybod…https://t.co/8x47Vze0lb
— Graham Cluley (@gcluley) Ionawr 4, 2023
Ym mis Rhagfyr, cyfaddefodd LastPass, pe bai gan gwsmeriaid Gyfrineiriau Meistr gwan, efallai y bydd yr ymosodwyr yn gallu defnyddio grym 'n Ysgrublaidd i ddyfalu'r cyfrinair hwn, gan ganiatáu iddynt ddadgryptio'r claddgelloedd.
Ffynhonnell: https://cointelegraph.com/news/lastpass-data-breach-led-to-53k-in-bitcoin-stolen-lawsuit-alleges