1Password blev ikke brudt eller kompromitteret; de bekymrende advarsler om adgangskodeændring kom fra fejlhåndtering
Natten til den 27. april modtog alle aktive 1Password-brugere i USA følgende meddelelse: "din hemmelige nøgle eller adgangskode blev for nylig ændret. Indtast dine nye kontooplysninger for at fortsætte”. Da de ikke havde ændret deres adgangskoder, var advarslen bekymrende.
Men den populære password manager blev ikke brudt eller under angreb. Meddelelsen blev ved en fejl sendt under et nedbrud efter rutinemæssig vedligeholdelse og 1Password's offentlige vedligeholdelsesjournaler forklarede situationen lige efter hændelsen.
1Password udgav senere en officiel erklæring at forklare hvad der skete og undskylde. Omkring kl. 21 ET den pågældende nat var 1Password ved at fuldføre planlagt vedligeholdelse af databaser, da deres servere modtog et usædvanligt antal synkroniseringsanmodninger fra klientenheder. Systemerne afviste login og returnerede en fejl, som klientapps fejllæste som advarsel om adgangskodeændring.
Adgangskoder og data blev faktisk ikke ændret eller påvirket. For ekstra sikkerhed sikrer 1Password sikkerhedskopier med kryptering. Tjek vores password manager guide for hvorfor det er vigtigt.
Afbrydelsen var kort, og tjenesten er igen fuldt operationel. "Den 28. april var der ingen yderligere fejlmeddelelser, og vi var i stand til at bekræfte, at rettelserne fungerede som forventet," forklarer erklæringen.
1Password CTO Pedro Canahuati rapporterede også, at en undersøgelse af forstyrrelsen er i gang for at analysere årsagen. Resultaterne vil hjælpe med at justere vedligeholdelses- og fejlhåndteringsprocessen, så hændelsen ikke gentager sig.
En hurtig søgning på 1Password-supportfora afslører dog en tråd, der beskriver den samme fejlmeddelelse. Et medlem af fællesskabet indgav klagen efter at have stødt på fejlen på deres Mac-enhed i december 2022, som 1Password-teamet svarede offentligt på.
Selvom det ikke var en sikkerhedshændelse, kom 1Password-forskrækkelsen kun måneder efter LastPass brud. LastPass, en anden populær adgangskodemanager, har været ramt af et alvorligt hack sidste år. Ondsindede parter stjal brugernes URL-historik, navne, faktureringsadresser, e-mails, telefonnumre, IP-adresser og krypterede loginoplysninger. Noget af LastPass-kildekoden lækket også. Vi har en liste over alternativer til LastPass for sikkerhedsbevidste læsere.
1Password har aldrig været udsat for en sikkerhedshændelse. Men LastPass-hacket giver kontekst til de bekymrende spekulationer, der fulgte begivenheden den 27. april.
Den officielle erklæring bragte den spekulation til ro. "Vi tager integriteten af dine data og stabiliteten af vores systemer meget alvorligt og vil fortsætte med at gøre det arbejd hårdt hver dag for at gøre dig fortjent til den tillid, du har vist os," beroligede CTO'en yderligere 1Password kunder.