パスワード管理サービスのLastPassに、フィッシング攻撃によりユーザの認証情報が盗取される恐れがあることが研究者により確認された。これは、ハッカーコンベンションのShmooConにて研究者が発表したもので、この研究者によると、フィッシング攻撃により、ユーザが細工されたウェブサイトにリダイレクトされてLastPassの通知メッセージが表示される。通知はまるでLastPassをログアウトしたかのように見せかけ、ユーザに再度ログインさせて認証情報を入力させたり2要素認証をしようしている場合にはマスターパスワードを入力させたりする。偽のログイン画面は本物そっくりでユーザが見分けるのは困難になっている。ユーザ名やパスワード、2要素認証用トークンが盗まれると、LastPassのAPIからからクレジットカード情報なども盗取される恐れがある。さらに、アカウントにバックドアを仕掛けて2要素認証用を無効にし、攻撃者のサーバを認証済みの端末として追加することも可能になってしまう。これを受けてLastPassはユーザが偽ログイン画面にマスターパスワードを入力すると警告を表示するようにし、不正ログインが確認できる措置を行った。ただし、この対応で問題が完全に解決されるわけではないとしている。
