As vulnerabilidades foram descobertas por dois investigadores de forma independente e, em ambos os casos, a LastPass demorou pouco mais de um dia para as corrigir. A empresa assumiu as falhas e comunicou também a correção. Mathias Karlsson descobriu um bug que permite criar um URL falso, fazendo os utilizadores pensar que estavam a aceder ao Twitter e a digitar a sua password, para a roubar. O sistema depois reencaminha o utilizador para o Twitter, para que este não se aperceba do ataque. Por outro lado, Travis Ormandy, da Google Security Team, anunciou uma falha na extensão do LastPass para o Firefox, que também já foi sanada.
As recomendações de segurança mantêm-se: não clique em links de origens desconhecidas, use passwords diferentes para cada serviço e ative a autenticação de dois fatores sempre que estiver disponível.
