למי שמעולם לא השתמש בשירותים של LastPass, אמור לו שאנחנו מדברים על לא פחות מאחת הפלטפורמות המפורסמות ביותר לשמור ולנהל את הסיסמאות שמשתמש משתמש בדרך כלל בכל אחת ממשימות האינטרנט היומיות שלו. כפי שהועבר באמצעות הבלוג הרשמי של השירות, נראה שיש למפתחי התוכנה שלו לתקן שני חורי אבטחה זה, ככל הנראה ועל פי הערות, יכול לאפשר לתוקף לגנוב את כל סיסמאות המשתמש בלחיצה אחת.
עם זאת, פתרון זה היה צריך להיעשות כנגד השעון לאחר אימייל שנשלח על ידי LastPass מתיאס קרלסוןחוקר שדיווח על אחד הבאגים, שלא קיבל תגובה מהחברה, החליט לפרסם את ההיסטוריה שלו אינטרנט. לאחר פרסום הסיפור, LastPass התחיל לעבוד בטענה מוזרה כי האבטחה היא בסדר עדיפות מוחלט ומוחלט עבור החברה. במקביל הם גם פרסמו ופירטו את כל מאפייני הטעויות.
LastPass מתקן שני פגמי אבטחה בפלטפורמה שלה בזמן שיא
לגבי השגיאות שזוהו, מצד אחד מצאנו כשל שנוצר בגלל קוד הניתוח של כתובת האתר היה פגום. בדיוק בגלל פגם זה, תוקף יכול להשתמש בתעודות המחזיק מפתחות LastPass בדפי אינטרנט מזויפים, עם אפשרות לגנוב את מפתחות השירותים המקוונים העיקריים בקלות ובמילוי בזמן שיא.
שנית, נראה שיש באג במערכת סיומת LastPass לפיירפוקס כדי שתוקף יוכל לפתות את הקורבן לאתר זדוני, וברגע שהוא, הדף יוכל לבצע פעולות ביישום ברקע מבלי שהמשתמש יהיה מודע לכך.