Sebbene servizi come LastPass dovrebbero servire per mettere al sicuro le proprie password senza il rischio di dimenticarle in virtù della loro complessità, anche servizi come LastPass sono per definizione vulnerabili. Una nuova grave fragilità è infatti stata scoperta, corretta e puntualmente comunicata dal gruppo a seguito della scoperta del ricercatore Tavis Ormandy del Google Project Zero (esatto, ancora loro).
Non sarebbe stato semplice colpire un utente, il quale avrebbe dovuto eseguire una serie di azioni per portare in chiaro tutte le proprie password, ma l’exploit (di tipo “clickjacking”) era comunque potenzialmente possibile e dipendeva dalla visita di siti appositamente costruiti per la sottrazione delle credenziali. L’attacco poteva avvenire su browser quali Chrome e Opera ma per precauzione, spiega LastPass, l’aggiornamento risolutivo è stato portato avanti su tutte le versioni delle estensioni del software.
Va reso merito al gruppo di aver agito tempestivamente e di aver comunicato con grande trasparenza l’accaduto. LastPass ricorda inoltre come in virtù del proprio bug bounty program sono previste vere e proprie ricompense per quanti scoprono bug nel servizio. Si ricorda inoltre la più elementare delle regole: mai utilizzare in altri contesto la master key di LastPass, poiché è questa la chiave maestra che può aprire alla scoperta di tutte le altre.