ชายนิรนามคนหนึ่งยื่นขอฟ้องแบบกลุ่ม (class action) กับ LastPass หลังข้อมูลหลุดขนานใหญ่ หลังชายผู้นี้ถูกแฮกบิตคอยน์มูลค่า 53,000 ดอลลาร์หรือประมาณ 1.8 ล้านบาท โดยที่เก็บกุญแจบิตคอยน์ไว้ใน LastPass
ขายผู้นี้ใช้ LastPass มาตั้งแต่ปี 2016 แต่เพิ่งเริ่มซื้อบิตคอยน์เมื่อกลางปี 2022 ที่ผ่านมาโดยใช้ master password ยาวกว่า 12 ตัวอักษร และเมื่อได้ทราบข่าวก็ลบข้อมูลออกจาก LastPass แต่เดือนพฤศจิกายนที่ผ่านมาก็ถูกขโมยบิตคอยน์อยู่ดี
คำฟ้องระบุว่า LastPass ไม่ได้ใช้กระบวนการปกป้องข้อมูลดีพอ กระบวนการแฮช PBKDF2 นั้นแฮชเพียง 100,100 รอบ ต่ำกว่าที่ OWASP แนะนำไว้ที่ 310,000 รอบ และเมื่อข้อมูลหลุดตั้งแต่เดือนสิงหาคมที่ผ่านมา LastPass ก็แจ้งผู้ใช้ว่าไม่มีความเสี่ยงมาโดยตลอด
ที่มา - PC Magazine