1 Паролата не е нарушена или компрометирана; тревожните сигнали за промяна на паролата идват от неправилно обработване на грешки
В нощта на 27 април всички активни потребители на 1Password в САЩ получиха следното известие „вашият таен ключ или парола наскоро бяха променени. Въведете данните за новия си акаунт, за да продължите”. Тъй като не бяха променили паролите си, сигналът беше тревожен.
Но популярният мениджър на пароли не е бил пробит или атакуван. Уведомлението е изпратено по погрешка по време на прекъсване след рутинна поддръжка и 1Password публични дневници за поддръжка обясни ситуацията веднага след инцидента.
1Password по-късно пусна an официално изявление да обясни какво се е случило и да се извини. Около 21:00 ET на въпросната нощ 1Password завършваше планираната поддръжка на бази данни, когато техните сървъри получиха необичаен брой заявки за синхронизиране от клиентски устройства. Системите отхвърлиха влизанията и върнаха грешка, която клиентските приложения разчитат погрешно като предупреждение за промяна на паролата.
Паролите и данните всъщност не са променени или засегнати. За допълнителна сигурност 1Password защитава резервните копия с криптиране. Разгледайте нашите ръководство за управление на пароли защо това е важно.
Прекъсването е кратко и услугата отново работи напълно. „До 28 април нямаше допълнителни грешни съобщения и успяхме да потвърдим, че корекциите работят според очакванията“, се обяснява в изявлението.
Техническият директор на 1Password Педро Канахуати също съобщи, че е в ход разследване на прекъсването, за да се анализира причината. Констатациите ще помогнат за коригиране на процеса на поддръжка и обработка на грешки, така че инцидентът да не се повтори.
Въпреки това, едно бързо търсене във форумите за поддръжка на 1Password разкрива нишка, очертаваща същото съобщение за грешка. Член на общността подаде жалбата, след като срещна грешката на своето Mac устройство през декември 2022 г., на която екипът на 1Password отговори публично.
Въпреки че не е инцидент със сигурността, страхът от 1Password дойде само месеци след Пробив в LastPass. LastPass, друг популярен мениджър на пароли, претърпя сериозен хак миналата година. Злонамерените страни са откраднали историята на URL адресите на потребителите, имената, адресите за фактуриране, имейлите, телефонните номера, IP адресите и шифрованите идентификационни данни за вход. Изтече и част от изходния код на LastPass. Имаме списък с алтернативи на LastPass за читатели, загрижени за сигурността.
1Password никога не е претърпял инцидент със сигурността. Но хакът на LastPass дава контекст на тревожните спекулации, които последваха събитието от 27 април.
Официалното изявление сложи край на тези спекулации. „Ние приемаме целостта на вашите данни и стабилността на нашите системи много сериозно и ще продължим да го правим работим упорито всеки ден, за да спечелим доверието, което ни гласуваш“, допълнително увери 1Password CTO клиенти.