El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente. LastPass estaba usando un hash de la contraseña del usuario para generar el código QR que se usaba para establecer la autenticación en dos pasos en el dispositivo de un usuario. Es decir, LastPass estaba guardando la semilla secreta.