Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem so bili prijavni podatki za Amazon S3. Napadalci so nato sneli celotno vsebino na strežniku, torej šifrirne podatke približno 30 milijonov strank.
Ti so šifrirani, zato v teoriji razloga za preplah ne bi smelo biti. A kot smo že pisali, je bilo veliko trezorjev neprimerno zaščitenih. Čeprav so šifrirani z AES-256, so imeli starejši računi nizko število iteracij (celo 1 ali 500) in kratko glavno geslo. Hkrati hekerji vidijo, za katere strani so shranjena gesla, ker ta podatek ni šifriran. Hekerji se tako lahko osredotočijo na račune, ki največ obetajo.
Čeprav je LastPass naposled zaznal vdor, ko je heker skušal uporabiti Cloud Identity and Access Management, ter odtlej spremenil varnostni režim ter poostril nadzor, so ugled v veliki meri že izgubili.
AWS Access Keys and the LastPass-generated decryption keys.
