LastPass ออกรายงานสรุปการสอบสวนกรณีถูกแฮ็กระบบเมื่อปลายเดือนสิงหาคม โดยระบุว่าจ้างบริษัท Mandiant ที่เป็นผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยมาช่วย

• แฮ็กเกอร์บุกเข้ามาผ่านบัญชีนักพัฒนา (developer account) แต่ยังไม่ชัดเจนว่าเจาะบัญชีนักพัฒนาได้อย่างไร
• เข้ามาอยู่ในระบบเป็นเวลา 4 วัน ก่อนถูกฝ่ายความปลอดภัยของ LastPass ตรวจจับได้
• ระบบของ LastPass แยก Development environment กับ Production ขาดออกจากกันในทางกายภาพเลย ไม่มีการเชื่อมต่อกันโดยตรง
• สิ่งที่แฮ็กเกอร์เข้าถึงได้คือซอร์สโค้ด และเอกสารทางเทคนิค
• หลังตรวจสอบความถูกต้องของซอร์สโค้ดในระบบ ไม่พบการแอบฝังโค้ดประสงค์ร้าย (code poisoning)
• ระบบส่วนอื่นไม่กระทบ ข้อมูลทุกอย่างของผู้ใช้ (รวมถึงรหัสผ่านที่ถูกเข้ารหัสไว้) ไม่กระทบ

ที่มา - LastPass, BleepingComputer