En août , "LastPass" a admis qu'une "partie non autorisée" était entrée dans son système. À cet égard, l'entreprise rassure désormais ses utilisateurs : leurs accès et autres informations, en effet, n'ont pas été compromis par la cyberattaque . Le PDG de LastPass, Karim Toubba , a déclaré que l'enquête menée avec la société de cybersécurité Mandiant a révélé que le pirate (ou plus d'un) avait accès aux systèmes pendant quatre jours. Avant d'entrer dans le vif du sujet, il peut être utile de consulter notre guide sur comment débloquer un PC sans mot de passe. Concrètement, les auteurs présumés de l'action pénale ont pu voler une partie du code source et des informations techniques du gestionnaire de mots de passe, cependant leur accès a été limité à l'environnement de développement du service, qui n'est pas connecté aux données clients et aux dépôts cryptés. . À cet égard, le PDG du service a souligné que "LastPass" n'a pas accès aux mots de passe maîtres des utilisateurs, qui sont nécessaires pour décrypter leurs dépôts. De plus, comme l'a déclaré Toubba, "il n'y a aucune preuve que cet incident impliquait l'accès aux données des clients ou aux coffres-forts de mots de passe cryptés". Enfin, il n'y a aucune preuve d'accès non autorisé au-delà de ces quatre jours.

Toubba a également expliqué que le pirate informatique avait infiltré les systèmes du service compromettant le point de terminaison d'un développeur. Le pirate s'est ensuite fait passer pour le développeur "une fois que le développeur s'est authentifié avec succès à l'aide de l'authentification multifacteur". En 2015 , "LastPass" (qui compte désormais plus de 33 millions de clients enregistrés), a également subi une faille de sécurité qui a compromis les adresses e-mail , les hachages d'authentification, les rappels de mot de passe et d'autres informations utilisateur.