1Lozinka nije probijena ili ugrožena; zabrinjavajuća upozorenja o promjeni lozinke došla su zbog pogrešnog rukovanja greškom
U noći 27. travnja, svi aktivni korisnici 1Passworda u SAD-u primili su sljedeću obavijest, “vaš tajni ključ ili lozinka su nedavno promijenjeni. Unesite podatke o novom računu za nastavak”. Budući da nisu promijenili svoje lozinke, upozorenje je bilo zabrinjavajuće.
Ali popularni upravitelj lozinki nije probijen niti napadnut. Obavijest je greškom poslana tijekom prekida rada nakon rutinskog održavanja i 1Password-a dnevnici javnog održavanja objasnio situaciju odmah nakon incidenta.
1Password je kasnije objavio službena izjava objasniti što se dogodilo i ispričati se. Oko 21:00 ET dotične noći, 1Password je dovršavao planirano održavanje baza podataka kada su njihovi poslužitelji primili neobičan broj zahtjeva za sinkronizaciju od klijentskih uređaja. Sustavi su odbili prijave i vratili pogrešku koju su klijentske aplikacije pogrešno protumačile kao upozorenje o promjeni lozinke.
Lozinke i podaci zapravo nisu promijenjeni niti su na njih utjecali. Za dodatnu sigurnost, 1Password osigurava sigurnosne kopije enkripcijom. Provjerite naše vodič za upravljanje lozinkama zašto je to važno.
Prekid je bio kratak, a usluga je ponovno u potpunosti operativna. "Do 28. travnja nije bilo dodatnih pogrešnih poruka i uspjeli smo potvrditi da popravci rade prema očekivanjima", objašnjava se u priopćenju.
1Password CTO Pedro Canahuati također je izvijestio da je u tijeku istraga o smetnji kako bi se analizirao uzrok. Nalazi će pomoći u podešavanju procesa održavanja i rješavanja pogrešaka kako se incident ne bi ponovio.
Međutim, brzo pretraživanje na forumima za podršku 1Password otkriva nit koja opisuje istu poruku o pogrešci. Član zajednice podnio je žalbu nakon što je naišao na grešku na svom Mac uređaju u prosincu 2022., na što je tim 1Passworda javno odgovorio.
Iako nije sigurnosni incident, strah od 1Passworda pojavio se samo nekoliko mjeseci nakon Kršenje LastPass-a. LastPass, još jedan popularni upravitelj lozinki, bio je pogođen ozbiljnim hakiranjem prošle godine. Zlonamjerne strane ukrale su korisničku povijest URL-ova, imena, adrese za naplatu, e-poštu, telefonske brojeve, IP adrese i šifrirane vjerodajnice za prijavu. Procurilo je i nešto od LastPass izvornog koda. Imamo popis alternative za LastPass za sigurnosno osviještene čitatelje.
1Password nikada nije doživio sigurnosni incident. Ali hakiranje LastPass daje kontekst zabrinjavajućim spekulacijama koje su uslijedile nakon događaja 27. travnja.
Službeno priopćenje prekinulo je ta nagađanja. “Cjelovitost vaših podataka i stabilnost naših sustava shvaćamo vrlo ozbiljno i tako ćemo i nastaviti naporno radite svaki dan kako biste zaslužili povjerenje koje ste nam ukazali," CTO je dodatno uvjerio 1Password kupaca.