Několik uživatelů služby LastPass tvrdí, že od společnosti dostávají e-maily o neoprávněných pokusech o přihlášení pomocí jejich hlavních hesel. Společnost LastPass na problém reagovala a uvedla, že k žádnému úniku hesel nedošlo.
LastPass je možná jedním z nejznámějších správců hesel. Přestože se k němu mnozí po faktickém ukončení jeho bezplatné verze v roce 2021 obrátili zády, je stále oblíbenou volbou.
Stejně jako ostatní správci hesel, se LastPass spoléhá na „hlavní heslo“ jako klíč k odemčení sbírky hesel uživatele. Šifrovaný trezor hesel a dalších údajů je uložen na serverech společnosti, ale hlavní heslo nikoli.
Server AppleInsider si jako první všiml zpráv na fóru Hacker News, kde několik uživatelů píše, že je LastPass informoval o zablokovaných pokusech o přihlášení pocházejících z jiných částí světa, především z Brazílie. Podle e-mailů, které tito lidé obdrželi, jim LastPass sděluje, že byla použita správná hlavní hesla. Pokusy o přihlášení byly ale zablokovány kvůli neobvyklé zeměpisné poloze.
Někteří uživatelé tvrdí, že ani změna hesla nepomohla. Jeden uživatel dokonce tvrdí, že při každé změně hesla viděl nové pokusy o přihlášení z různých míst. Není jasné, o jak závažný únik hesel se může jednat, ani zda je LastPass v současné době pod útokem.
Hesla byla nejspíše získaná z jiných služeb. Samotný správce hesel není podle společnosti kompromitován
Společnost LastPass ve svém prohlášení pro server How-To-Geek uvedla, že v současné době nic nenasvědčuje tomu, že by zabezpečení služby LastPass narušila třetí strana. Spíše se spekuluje o tom, že postižení uživatelé mohli používat své hlavní heslo v jiných službách.
„Společnost LastPass prověřila nedávná hlášení o zablokovaných pokusech o přihlášení a zjistila, že tato aktivita souvisí s poměrně běžnou aktivitou botů, při níž se záškodník nebo zlý subjekt pokouší získat přístup k uživatelským účtům (v tomto případě k účtu LastPass) pomocí e-mailových adres a hesel získaných z narušení třetích stran souvisejících s jinými nespojenými službami.„
Uživatelé, kteří tato varování obdrželi, však uvedli, že jejich hesla jsou jedinečná pro LastPass a jinde je nepoužívají. Aby toho nebylo málo, uživatelé, kteří se po obdržení těchto varování pokusili deaktivovat a odstranit své účty, hlásí, že obdrželi zprávu „Něco se pokazilo“ po kliknutí na tlačítko „Odstranit účet“.
