De lekken zijn inmiddels door LastPass gedicht, nadat een beveiligingsonderzoeker het bij de wachtwoordmanager aankaartte.
Geen details
Er zijn geen details bekend over de lekken, behalve dat die het mogelijk maakten om wachten voor specifieke websites of zelfs uit het hele wachtwoordenbestand te bekijken.
Losse lekken
Het gaat om twee individuele lekken, die kort na elkaar werden gevonden door verschillende beveiligingsonderzoekers. Eén van de lekken maakte gebruik van een spoof-url waarbij het leek alsof de gebruiker op Twitter terecht kwam. In werkelijk stal de bug de wachtwoorden van het slachtoffer.
Een andere bug werd ontdekt in de LastPass-extensie voor Firefox, die automatisch wachtwoorden aanvult in de browser. Die functie was uit te buiten door wachtwoorden te parsen en door te sluizen naar een eigen server van de aanvaller.
Bug bounty
LastPass heeft de bugs inmiddels opgelost, nadat de onderzoekers via het bug bounty-programma een melding deden bij LastPass.
