L'ultima pass suggerendo che le persone cambiano le loro password dipende da se la vulnerabilità è stata scoperta prima che venisse divulgata e risolta e se gli utenti hanno visitato un sito infetto nel caso lo fosse. Dipende anche da come è stata risolta la vulnerabilità.
Tavis Ormandy è un ottimo ricercatore che ha iniziato a frequentare Last Pass per un po 'di tempo, e mentre è possibile che qualcun altro abbia scoperto la vulnerabilità prima di lui, lo trovo improbabile. Tuttavia, se fosse stato scoperto probabilmente non era molto usato, dal momento che finora non abbiamo visto nessuna falla nei media e non credo che una violazione di Last Pass sarebbe durata molto a lungo senza essere scoperta. A mio parere, non è molto probabile che gli utenti siano stati colpiti da questo.
L'exploit consente solo l'accesso agli RPC di Last Passe senza l'estensione, quindi un utente malintenzionato non sarebbe in grado di accedere alla tua password principale, ma alla password di un sito (o forse di alcuni siti) che hai memorizzato in Last Pass. Quindi, se hai voglia di cambiare la tua password, modifica le password dei siti a cui accedi tramite Last Pass, non la password principale.
Infine, se la vulnerabilità è stata risolta rimuovendo la voce DNS e non abbassando il servizio, un MITM potrebbe potenzialmente ottenere i dettagli dell'account, ma la probabilità di un attacco mirato è piuttosto bassa a meno che un utente malintenzionato non possa manipolare una pagina Web sanno che frequenti e possono anche posizionarsi come un MITM.
Tutto questo ha come obiettivo un rischio piuttosto basso di masterizzazione degli utenti di Last Pass, se fossero probabilmente un numero limitato di utenti. Penso che il circo mediatico che seguirà Last Pass suggerendo a tutti gli utenti di modificare le proprie password creerebbe più danni che benefici per l'azienda nel suo complesso, mentre il fatto che pochi utenti siano interessati non è l'ideale, è più gestibile dal punto di vista delle pubbliche relazioni.