De fout zat in de vorige update van LastPass, en is ondertussen opgelost. Ze zou het kwaadaardige websites toestaan om de login en wachtwoord te bekijken die laatst werd gebruikt. De zogenaamde 'clickjacking' bug werd ontdekt door Google's securityteam Project Zero. Bij clickjacking wordt een gebruiker gemanipuleerd om op iets te klikken, meestal door het eruit te laten zien als iets anders.

De bug zat enkel in Chrome en Opera browsers, en had te maken met een cache die niet juist vernieuwd werd. Om gegevens via de bug te stelen, moet een gebruiker een wachtwoord invullen via LastPass, en daarna naar een kwaadaardige site surfen en meerdere keren op die site klikken. De kans is dus klein dat er veel gegevens via de bug werden gestolen. Details van de bug werden gepubliceerd door Project Zero op hun blog.