1Password wurde nicht verletzt oder kompromittiert; Die besorgniserregenden Warnungen zur Passwortänderung waren auf eine fehlerhafte Handhabung zurückzuführen
In der Nacht des 27. April erhielten alle aktiven 1Password-Benutzer in den USA die folgende Benachrichtigung: „Ihr geheimer Schlüssel oder Ihr Passwort wurde kürzlich geändert. Geben Sie Ihre neuen Kontodaten ein, um fortzufahren.“ Da sie ihre Passwörter nicht geändert hatten, war die Warnung besorgniserregend.
Aber der beliebte Passwort-Manager wurde weder gehackt noch angegriffen. Die Benachrichtigung wurde fälschlicherweise während eines Ausfalls nach routinemäßiger Wartung und von 1Password gesendet öffentliche Wartungsprotokolle erklärte die Situation direkt nach dem Vorfall.
1Password veröffentlichte später ein offizielle Aussage um zu erklären, was passiert ist und mich zu entschuldigen. Gegen 21:00 Uhr ET der fraglichen Nacht schloss 1Password gerade die geplante Wartung der Datenbanken ab, als ihre Server ungewöhnlich viele Synchronisierungsanfragen von Client-Geräten erhielten. Die Systeme lehnten die Anmeldungen ab und gaben einen Fehler zurück, den die Client-Apps fälschlicherweise als Warnung zur Passwortänderung interpretierten.
Passwörter und Daten wurden nicht tatsächlich geändert oder beeinträchtigt. Für zusätzliche Sicherheit sichert 1Password Backups mit Verschlüsselung. Schauen Sie sich unsere an Anleitung zum Passwort-Manager warum das wichtig ist.
Der Ausfall war kurz und der Dienst ist wieder voll funktionsfähig. „Bis zum 28. April gab es keine weiteren Fehlermeldungen und wir konnten bestätigen, dass die Korrekturen wie erwartet funktionierten“, heißt es in der Erklärung.
Pedro Canahuati, CTO von 1Password, berichtete außerdem, dass eine Untersuchung der Störung im Gange sei, um die Ursache zu analysieren. Die Ergebnisse werden dazu beitragen, den Wartungs- und Fehlerbehandlungsprozess zu optimieren, damit sich der Vorfall nicht wiederholt.
Eine schnelle Suche in den 1Password-Supportforen zeigt jedoch einen Thread mit derselben Fehlermeldung. Ein Community-Mitglied reichte die Beschwerde ein, nachdem es im Dezember 2022 auf seinem Mac-Gerät auf den Fehler gestoßen war, worauf das 1Password-Team öffentlich reagierte.
Obwohl es sich nicht um einen Sicherheitsvorfall handelte, kam der 1Password-Schrecken nur Monate nach dem LastPass-Verstoß. LastPass, ein weiterer beliebter Passwort-Manager, litt letztes Jahr unter einem schweren Hack. Böswillige Parteien haben den URL-Verlauf, die Namen, Rechnungsadressen, E-Mails, Telefonnummern, IP-Adressen und verschlüsselten Anmeldeinformationen der Benutzer gestohlen. Auch ein Teil des LastPass-Quellcodes ist durchgesickert. Wir haben eine Liste von Alternativen zu LastPass für sicherheitsbewusste Leser.
1Password hat noch nie einen Sicherheitsvorfall erlitten. Aber der LastPass-Hack liefert einen Kontext für die besorgniserregenden Spekulationen, die auf das Ereignis vom 27. April folgten.
Die offizielle Erklärung machte dieser Spekulation ein Ende. „Wir nehmen die Integrität Ihrer Daten und die Stabilität unserer Systeme sehr ernst und werden dies auch weiterhin tun.“ Arbeiten Sie jeden Tag hart, um das Vertrauen zu verdienen, das Sie uns entgegenbringen“, versicherte der CTO 1Password weiter Kunden.