vir: Slashdot
LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel, tako da mora uporabnik poznati le eno glavno geslo. Vsa gesla se lokalno tudi šifrirajo in sinhronizirajo v oblak, da je do njih moč dostopiti tudi drugod.
Kateri podatki so bili domnevno odtujeni, ni znano. Analiza izhodnega prometa je pokazala, da je bil ta zadosti velik, da bi lahko šlo za elektronske naslove uporabnikov, sol na strežniku in zgoščene vrednosti gesel iz podatkovne baze. S temi podatki je mogoče učinkoviteje izvesti napad s slovarjem na glavno geslo, zato je LastPass od vseh uporabnikov zahteval zamenjavo le-teh. Hkrati so začeli tudi dolgo načrtovano nadgradnjo sistema, saj bodo odslej uporabljali PBKDF2 s SHA-256 na strežnikih.
Kasneje se je LastPassu po lastni zaslugi primerila še ena nevšečnost. Naval ljudi, ki so zamenjevali svoja gesla, je bil tako velik, da je stran pokleknila pod obremenitvijo. Zato so uvedli nekaj ukrepov, ki odlagajo nujnost takojšnje spremembe gesel - med njimi verifikacijo elektronskega naslova z enega IP-naslova in omejitev prijave na ta IP in uporabo storitve v načinu off-line.