LastPass ออกรายงานสรุปการสอบสวนกรณีถูกแฮ็กระบบเมื่อปลายเดือนสิงหาคม โดยระบุว่าจ้างบริษัท Mandiant ที่เป็นผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยมาช่วย

แฮ็กเกอร์บุกเข้ามาผ่านบัญชีนักพัฒนา (developer account) แต่ยังไม่ชัดเจนว่าเจาะบัญชีนักพัฒนาได้อย่างไร
เข้ามาอยู่ในระบบเป็นเวลา 4 วัน ก่อนถูกฝ่ายความปลอดภัยของ LastPass ตรวจจับได้
ระบบของ LastPass แยก Development environment กับ Production ขาดออกจากกันในทางกายภาพเลย ไม่มีการเชื่อมต่อกันโดยตรง
สิ่งที่แฮ็กเกอร์เข้าถึงได้คือซอร์สโค้ด และเอกสารทางเทคนิค
หลังตรวจสอบความถูกต้องของซอร์สโค้ดในระบบ ไม่พบการแอบฝังโค้ดประสงค์ร้าย (code poisoning)
ระบบส่วนอื่นไม่กระทบ ข้อมูลทุกอย่างของผู้ใช้ (รวมถึงรหัสผ่านที่ถูกเข้ารหัสไว้) ไม่กระทบ

ที่มา – LastPass, BleepingComputer