LastPass aangeklaagd voor datadiefstal
LastPass wordt aangeklaagd in een zogenaamde ‘class action’-rechtszaak. Andere gebruikers van de dienst kunnen zich bij de zaak aansluiten en daarmee een schadevergoeding krijgen voor de geleden schade. Dat geldt wel enkel voor inwoners van de VS die ook gebruikmaken van de dienst of voor de lekken gebruikmaakten van de wachtwoordmanager. Het lek van de wachtwoordmanager kwam eind december aan het licht toen LastPass gebruikers daarover in een blogbericht op de hoogte stelde.
Het lek omvat volgens LastPass onder meer de wachtwoordkluizen van zijn gebruikers. Eerder werd al bekend dat code en klantgegevens waren gestolen tijdens de aanval in augustus. Toch hoeven de gebruikers van LastPass zich geen zorgen te maken over de beveiliging van hun gegevens ‘gezien de wachtwoorden sterk zijn beveiligd’. Volgens beveiligingsexperten valt er nog het een en ander af te dingen op die beveiliging. Juist daar speelt de aanklager nu ook op in.
Inadequate beveiliging LastPass
Volgens de aanklager heeft de wachtwoordmanager zich onvoldoende ingespannen om de gegevens veilig op te slaan. Het bedrijf zou bovendien tools die beschikbaar zijn om data afdoende te beschermen niet hebben ingezet. “Hoewel de exacte oorzaak(en) van het datalek onduidelijk blijft, is er geen twijfel dat de gedaagde de privégegevens van de klager niet adequaat heeft beschermd en niet de tools heeft gebruikt om dergelijke privégegevens te beschermen,” lezen we in de aanklacht.
LastPass’ inadequate bescherming zou volgens de aanklager zelfs hebben geleid tot gestolen data en gelden. Sinds 2016 sloeg hij wachtwoorden en sleutels voor crypto-wallets op in LastPass; wallets die na het datalek van LastPass zijn ‘geplunderd’ door kwaadwillenden. Zelf zou de aanklager daar geen schuld aan hebben. Hij wijzigde naar eigen zeggen ‘regelmatig’ zijn wachtwoorden om de data in de kluis veilig te houden.
Class Action-rechtszaak
Met de rechtszaak hoopt de aanklager zijn schade vergoed te krijgen. In de Verenigde Staten lopen class action-rechtszaken soms uit op flinke schadevergoedingen. Zo werd deze week bekend dat gebruikers van het befaamde Butterfly-toetsenbord in de VS een schadevergoeding tegoed hebben als hun toetsenbord defect is. Apple pompte hiervoor 50 miljoen dollar in een Settlement Fund. We hoeven in Europa overigens geen (vergelijkbare) schadevergoeding te verwachten. Zulke rechtszaken worden hier nauwelijks gevoerd. Wel kunnen overheden het bedrijf een boete geven voor het overtreden van privacywetgeving.
Hoe de rechtszaak tegen LastPass gaat uitpakken is uiteraard nog ongeweten. Wel bekend is dat de wachtwoordmanager zijn beveiliging tijdens de lekken onvoldoende op orde had en zelfs back-ups van klantdata in zijn ontwikkelomgeving opsloeg. Het is via die ontwikkelomgeving dat de data in augustus uitlekte.
