زمانی که حساب کاربری LastPass  قربانی مورد سواستفاده قرار می‌گیرد، هکرها قادر خواهند بود به تعداد زیادی از کلمه عبورهای کاربر که مربوط به سایر خدمات اینترنتی وی است ، دسترسی یابند. از آنجایی که LastPass در حال رفع آسیب پذیری zero-day  است،جزئیات فنی بیشتری در مورد خطاها توسط محققان فاش نشده است.

باگ قدیمی مشابه در نرم‌افزار مدیریت کلمه عبور LastPass  :

به طور تصادفی، محقق امنیتی دیگری به نام ماتیاس کارلسون اعلام کرد که چند باگ در نرم‌افزار LastPass  کشف کرده است که در حال حاضر توسط این شرکت وصله شده‌اند.همچنین وی گفت که یک URL خاص تقلبی برای در دست گرفتن کنترل کامل حساب‌های کاربری کافی است. طبق پستی که کارلسون در وبلاگش منتشر کرد، هکر می‌تواند یک URL تقلبی خاص برای قربانی ارسال کند و از این طریق کلمات عبور او را سرقت نماید.

این آسیب پذیری خاص در بخش عملکرد پر‌کردن خودکار افزونه مرورگر LastPass  مستقر است که یک عبارت منظم معیوب برای تجزیه‌ی URL به هکراجازه می‌دهد تا دامنه موردنظر را مورد سو‌ء استفاده قرار دهد.بنابراین با سو‌ء استفاده از عملکرد پرکردن خودکار، هکر می‌تواند با ارسال یک POC URL شامل facebook.com به قربانی،کلمه عبور فیس بوک وی را سرقت نماید.این آسیب پذیری در حال حاضر توسط این شرکت وصله شده است و به کارلسون بابت کشف این باگ 1000 دلار پاداش اعطا کرد.وجود چنین مشکلاتی در نرم‌افزارهای مدیریت کلمه عبور واقعا نگران کننده است اما این به معنی لزوم  متوقف کردن استفاده شما از این نرم‌افزارها نیست حتی این نرم‌افزارها شما را تشویق می‌کنند که از کلمه عبورهای پیچیده و منحصر به فرد برای هر سایت استفاده کنید.

به دنبال این باگ‌های امنیتی کشف شده،کاربران می‌توانند به جای استفاده از نرم‌افزارهای مدیریت کلمه عبور مبتنی بر مرورگر از نسخه‌های آفلاین مانند  Kee Pass استفاده نمایند.

LastPass  در وبلاگ خود  گفت:”باگ گزارش شده،تنها روی کاربران فایرفاکس تاثیر می‌گذارد.اگر شما از کاربران فایرفاکس هستید که از LastPass4 یا نسخه‌های قدیمی‌تر استفاده می‌کنید، به‌روزرسانی این نرم‌افزار در نسخه a  4.1.21 از طریق مرورگرتان منتشر شده است.”