El origen del suceso nos lleva a agosto, cuando LastPass comunicó de forma muy obtusa que alguien había entrado en sus sistemas, aunque sin llegar a extraer información. Cuatro meses más tarde, LastPass pudo observar un segundo ataque que al parecer solo se podía haber realizado utilizando "código fuente e información técnica" adquiridos durante el incidente de agosto. También se habrían extraído credenciales y claves de un empleado que después fueron utilizadas para acceder y descifrar volúmenes de almacenamiento en la nube usados como respaldo en el entorno de producción.
El anuncio de LastPass es bastante vago, y de hecho, ni siquiera queda claro cúando concretamente se produjo el robo. Tampoco comunica el número de usuarios potencialmente afectados.
Desde LastPass se asegura que los archivos conseguidos durante el ataque están cifrados y sería "extremadamente difícil" dar con las contraseñas necesarias para acceder a los mismos usando técnicas de fuerza bruta, pero todo depende de la calidad de la contraseña utilizada por cada usuario. El problema, como señala The Verge, es que los datos sin cifrar potencialmente obtenidos incluyen direcciones URL, por lo que, como mínimo, los atacantes o sus clientes podrían hacerse a la idea de los sitios visitados por cada persona para lanzar ataques de phising en caso de no poder dar con las contraseñas.
Asimismo, el servicio de almacenamiento al que accedieron los atacantes para cometer el robo de datos también incluía metadatos como nombres de empresa, direcciones de facturación, correos electrónicos, números de teléfono y las direcciones IP desde las que se accedía a LastPass. No está claro si esta información ha llegado a caer en manos de terceros. En cualquier caso, desde la compañía recomiendan cambiar la contraseña maestra de las cajas fuertes usando una clave dura y no utilizar una única contraseña para varios sitios.