The Verge kertoo, että haavoittuvuus olisi narrannut Chrome- tai Opera-selaimen lisukkeena toimivaa LastPassia syöttämään sen salasanan, jota lisuke oli viimeksi käyttänyt. Hyökkäys oltaisiin toteutettu haittakoodia sisältävällä sivustolla, johon käyttäjiä oltaisiin houkuteltu eri tavoin.

Googlen tietoturvaryhmä Project Zeron tutkija Tavis Ormandy löysi kiusallisen bugin, ja kertoi siitä kiltisti ensin LastPassille, jotta tämä sai paikata haavoittuvuuden ennen kuin bugin löytymisestä kerrottaisiin käyttäjille.

LastPass ei usko, että kukaan ehti haavoittuvuutta hyödyntää.

LastPass on julkaissut päivityksen jonka pitäisi asentua selaimelle automaattisesti, mutta asiahan kannattaa toki varmistaa. Tuoreimman ja siten turvallisen version numero on 4.33.0.