LastPass zegt dat gebruikers ten onrechte een melding hebben gekregen van een inlogpoging met hun hoofdwachtwoord door een fout in het waarschuwingssysteem. Er zijn geen aanwijzingen dat wachtwoorden gestolen zijn, of dat bots probeerden in te loggen.
Dat schrijft LastPass in een update, onder meer op Twitter, nadat meerdere gebruikers de afgelopen dagen melding deden dat er een inlogpoging was gedaan met hun hoofdwachtwoord vanaf een voor hen onbekende locatie. Gebruikers waren bang dat hun masterwachtwoord gelekt was, of op een andere manier ontvreemd was. LastPass zegt nu dat er na nader onderzoek geen aanleiding is dat dit gebeurd is en dat de gebruikers die een melding kregen, deze ten onrechte kregen door een fout in het waarschuwingssysteem. Volgens het bedrijf is er niet geprobeerd in te loggen met hun hoofdwachtwoord vanaf een andere locatie.
Eerder zei LastPass dat het mogelijk zou gaan om bots die probeerden in te loggen met wachtwoorden die buitgemaakt zijn bij hacks bij andere diensten. LastPass stelde toen al dat er geen enkele aanwijzing was dat accounts daadwerkelijk zijn binnengedrongen of dat er een lek zou zijn bij LastPass of het voormalige moederbedrijf LogMeIn. Daarnaast is er geen enkele aanleiding dat er gebruikersgegevens buitgemaakt zijn via malware, malafide browserextenties of phishingcampagnes.
In een blogpost, die door LastPass is aangevuld in de loop van dinsdag, benadrukt LastPass dat het bedrijf geen kennis heeft van de hoofdwachtwoorden van gebruikers en deze nergens opslaat. Volgens LastPass is de foutieve waarschuwing verstuurd naar een kleine groep gebruikers. Inmiddels is de fout die daarvoor zorgde opgelost. Ondanks alles raadt het bedrijf gebruikers aan goed naar hun hoofdwachtwoord te kijken en te zorgen dat dit een sterk en uniek wachtwoord is, en om tweestapsverificatie aan te zetten. Ook zegt het bedrijf wachtwoorden niet te hergebruiken.