La última pasada que sugiere que las personas cambien sus contraseñas depende de si la vulnerabilidad se descubrió antes de que se revelara y resolviera, y si los usuarios han visitado un sitio infectado en caso de que lo fuera. También depende de cómo se resolvió la vulnerabilidad.
Tavis Ormandy es un muy buen investigador que ha estado hurgando en Last Pass durante bastante tiempo, y aunque es posible que alguien más haya descubierto la vulnerabilidad antes que él, me parece poco probable. Sin embargo, si se descubrió, probablemente no se usó mucho, ya que no hemos visto ninguna filtración en los medios hasta ahora y no creo que una violación de Last Pass duraría mucho sin ser descubierta. En mi opinión, no es muy probable que los usuarios se hayan visto afectados con esto.
El exploit solo permite el acceso a los RPC de Last Passe sin la extensión, por lo que un atacante no podría obtener acceso a su contraseña maestra, sino a la contraseña de un sitio (o posiblemente algunos sitios) que haya almacenado en Last Pass. Entonces, si tiene ganas de cambiar su contraseña, cambie las contraseñas de los sitios a los que accede a través de Last Pass, no la contraseña maestra.
Finalmente, si la vulnerabilidad se resolvió eliminando la entrada del DNS y no eliminando el servicio, un MITM podría obtener los detalles de su cuenta, pero la probabilidad de un ataque dirigido es bastante baja a menos que un atacante pueda manipular una página web saben que usted es frecuente y también pueden posicionarse como MITM.
Todo esto apunta a un riesgo bastante bajo de que los usuarios de Last Pass se hayan quemado, de lo contrario, es probable que fuera una pequeña cantidad de usuarios. Creo que el circo mediático que seguiría a Last Pass sugiriendo que todos los usuarios cambien sus contraseñas crearía más daño que beneficio para la compañía en general, mientras que solo tener algunos usuarios afectados no es ideal, es más manejable desde el punto de vista de las relaciones públicas.