Le bug se trouvait dans la mise à jour précédente de LastPass et a été entre-temps résolu. Il permettait à des sites web mal intentionnés de visionner les login et mots de passe dernièrement utilisés. Cette faille de type 'clickjacking' (détournement de clic) avait été découverte par l'équipe de sécurité Project Zero de Google. Le 'clickjacking' sous-entend qu'un utilisateur est manipulé de manière à l'inciter à cliquer sur quelque chose, généralement en le trompant sur ce qui s'affiche.

Le bug ne se trouvait que dans les navigateurs Chrome et Opera et était dû à une cache non correctement actualisée. Pour dérober ainsi des données, un utilisateur doit saisir un mot de passe via LastPass, puis surfer sur un site malveillant et cliquer plusieurs fois sur ce site. Le risque est donc réduit que beaucoup de données soient volées via le bug. Des détails sur ce dernier ont été publiés par Project Zero sur son blog.