Het was lange tijd mogelijk om inloggegevens van LastPass in te zien door gebruikers naar websites met malafide code te sluizen. Via de bug konden kwaadaardige websites de laatst gebruikte logins uit de browserextensie halen.

De fout zat in de vorige update van de populaire wachtwoordmanagementapp LastPass en is intussen gefixt.

De zogenaamde 'clickjacking' bug werd ontdekt door Google's securityteam Project Zero. Bij clickjacking wordt een gebruiker gemanipuleerd om ergens op te klikken, meestal door dat eruit te laten zien als iets anders. In dit geval zou de bug malafide websites toestaan om login en wachtwoord te bekijken die het laatst werden gebruikt.

Het lek zat alleen in de browsers Chrome en Opera en had te maken met een cache die niet juist vernieuwd werd. Om gegevens via de bug te stelen, moest een gebruiker een wachtwoord invullen via LastPass en daarna naar een kwaadaardige site surfen en dan meerdere keren op die site klikken. De kans is dus klein dat er veel gegevens via de bug werden gestolen.