LastPass a été menacé de poursuites judiciaires à la suite d'une violation de données de plusieurs mois qui a débuté en août 2022 et a conduit à la fuite d'informations privées de millions d'utilisateurs.
À l'époque, le PDG du gestionnaire de mots de passe, Karim Toubba, avait déclaré qu'il n'y avait aucune preuve que les données de ses clients étaient menacées, bien qu'une importante société de cybersécurité ait été déployée.
Un avis datant du 20 décembre 2022 a finir par annoncer "qu'un acteur inconnu a accédé à un environnement de stockage cloud en exploitant les informations obtenues lors de l'incident".
La fuite de LastPass date d'août 2022
Selon la plainte en recours collectif déposée auprès d'un tribunal du Massachusetts, les noms, les prénoms d'utilisateur, les adresses de facturation, les adresses électroniques, les numéros de téléphone et même les adresses IP utilisées pour accéder au service ont tous été mis à la disposition des malfaiteurs.
La goutte d'eau qui a fait déborder le vase pourrait être la fuite des données non cryptées du coffre-fort des clients, qui comprend toutes sortes d'informations allant des noms d'utilisateur et mots de passe de sites Web à d'autres notes et données de formulaires sécurisés.
Selon l'action en justice, "LastPass a compris et évalué la valeur de ces informations mais a choisi de l'ignorer en n'investissant pas dans des mesures de sécurité des données adéquates".
Le plaignant de l'affaire affirme avoir investi 53 000 dollars en bitcoins (environ 50 000 €) depuis juillet 2022, qui ont été "volés" plusieurs mois plus tard, ce qui a donné lieu à des rapports de la police et du FBI.
Plus récemment, Mr Toubba a annoncé sur le blog de l'entreprise que "certains codes sources et informations techniques ont été volés dans l'environnement de développement [de LastPass]", ce qui a conduit à une attaque sur le compte d'un employé qui s'est vu dérober des informations d'identification et des clés. L'entreprise a depuis annoncé qu'elle "mettait cet environnement hors service dans son intégralité et reconstruisait un nouvel environnement à partir de zéro".
Alors que le plaignant a demandé un procès avec jury en ce qui concerne la fuite et les pertes subséquentes, il reste à savoir quelles mesures (le cas échéant) seront prises contre LastPass.
