De nombreux utilisateurs de LastPass signalent que leurs mots de passe maîtres (Master) ont été compromis après avoir reçu des courriels les avertissant que quelqu'un a essayé de les utiliser pour se connecter à leurs comptes depuis des lieux inconnus.

Les notifications par e-mail mentionnent également que les tentatives de connexion ont été bloquées parce qu'elles ont été effectuées à partir de lieux inconnus dans le monde entier.

"Quelqu'un vient d'utiliser votre mot de passe principal pour tenter de se connecter à votre compte depuis un appareil ou un lieu que nous n'avons pas reconnu. LastPass a bloqué cette tentative, mais vous devriez y regarder de plus près. Était-ce vous ?", préviennent les alertes de connexion.

Nikolett Bacso-Albaum, directeur général des relations publiques de LogMeIn, a déclaré : "Il est important de noter que nous n'avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d'activité et nous continuerons à prendre des mesures visant à garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés", a ajouté M. Bacso-Albaum.

Certains clients ont également signalé avoir changé leur mot de passe principal depuis qu'ils ont reçu l'alerte de connexion, pour ensuite recevoir une autre alerte après le changement de mot de passe.

Pour aggraver les choses, les clients qui ont essayé de désactiver et de supprimer leurs comptes LastPass après avoir reçu ces avertissements rapportent également avoir reçu le message d'erreur "Quelque chose s'est mal passé" après avoir cliqué sur le bouton "Supprimer".

Il est conseillé aux utilisateurs de LastPass d'activer l'authentification multifactorielle pour protéger leurs comptes, même si leur mot de passe principal a été compromis.