1Heslo nebylo porušeno nebo prozrazeno; znepokojivé upozornění na změnu hesla pocházelo z nesprávného zpracování chyb
V noci 27. dubna obdrželi všichni aktivní uživatelé 1Password v USA následující oznámení: „Váš tajný klíč nebo heslo byly nedávno změněny. Pokračujte zadáním údajů o svém novém účtu“. Protože si nezměnili hesla, upozornění bylo znepokojivé.
Oblíbený správce hesel však nebyl narušen ani napaden. Oznámení bylo omylem odesláno během výpadku po běžné údržbě a 1Password’s veřejné protokoly údržby vysvětlil situaci hned po incidentu.
1Password později vydáno an oficiální prohlášení vysvětlit, co se stalo, a omluvit se. Kolem 21:00 ET dotyčné noci společnost 1Password dokončovala plánovanou údržbu databází, když jejich servery obdržely neobvyklý počet požadavků na synchronizaci od klientských zařízení. Systémy odmítly přihlášení a vrátily chybu, kterou si klientské aplikace špatně přečetly jako upozornění na změnu hesla.
Hesla a data nebyla ve skutečnosti změněna ani ovlivněna. Pro větší bezpečnost zajišťuje 1Password zálohy pomocí šifrování. Podívejte se na naše
průvodce správcem hesel proč je to důležité.Výpadek byl krátký a služba je opět plně funkční. „Do 28. dubna se neobjevily žádné další chybové zprávy a byli jsme schopni potvrdit, že opravy fungují podle očekávání,“ vysvětluje prohlášení.
CTO 1Password Pedro Canahuati také uvedl, že probíhá vyšetřování narušení s cílem analyzovat příčinu. Zjištění pomohou vyladit proces údržby a odstraňování chyb, aby se incident neopakoval.
Rychlé vyhledávání na fórech podpory 1Password však odhalí vlákno se stejnou chybovou zprávou. Člen komunity podal stížnost poté, co v prosinci 2022 narazil na chybu na svém zařízení Mac, na což tým 1Password veřejně odpověděl.
Ačkoli se nejednalo o bezpečnostní incident, zděšení 1Password přišlo jen několik měsíců po Porušení LastPass. LastPass, další populární správce hesel, se v loňském roce zmítal v těžkém hacku. Škodlivé strany ukradly uživatelům URL historii, jména, fakturační adresy, e-maily, telefonní čísla, IP adresy a šifrované přihlašovací údaje. Unikly také některé zdrojové kódy LastPass. Máme seznam alternativy k LastPass pro čtenáře, kteří dbají na bezpečnost.
1Password nikdy neutrpěl bezpečnostní incident. Hack LastPass však dává kontext znepokojivým spekulacím, které následovaly po události z 27. dubna.
Oficiální prohlášení tyto spekulace ukončilo. „Bereme integritu vašich dat a stabilitu našich systémů velmi vážně a budeme v tom pokračovat tvrdě pracujte každý den, abyste si získali důvěru, kterou do nás vkládáte,“ dále CTO ujistil 1Password zákazníky.