1 A jelszót nem sértették meg vagy sértették fel; az aggasztó jelszómódosítási figyelmeztetések a hiba helytelen kezeléséből származtak
Április 27-én éjjel minden aktív 1Password felhasználó az Egyesült Államokban megkapta a következő értesítést: „Titkos kulcsa vagy jelszava nemrég megváltozott. A folytatáshoz adja meg új fiókja adatait." Mivel nem változtatták meg jelszavaikat, a figyelmeztetés aggasztó volt.
A népszerű jelszókezelőt azonban nem sértették meg és nem támadták meg. Az értesítést tévedésből küldték el a rutinszerű karbantartást követő kimaradás során, és 1 jelszóval állami karbantartási naplók elmagyarázta a helyzetet közvetlenül az eset után.
1Password később kiadott egy hivatalos álláspont elmagyarázni a történteket és bocsánatot kérni. A kérdéses éjszaka 21:00 körül az 1Password az adatbázisok ütemezett karbantartását fejezte be, amikor szerverei szokatlanul sok szinkronizálási kérést kaptak az ügyféleszközöktől. A rendszerek elutasították a bejelentkezéseket, és hibaüzenetet adtak vissza, amelyet az ügyfélalkalmazások tévesen értelmeztek a jelszómódosítási figyelmeztetésként.
A jelszavak és az adatok valójában nem változtak és nem érintettek. A fokozott biztonság érdekében az 1Password titkosítással védi a biztonsági másolatokat. Nézze meg a mi jelszókezelő útmutató mert ez miért fontos.
Az üzemszünet rövid volt, a szolgáltatás ismét teljes mértékben üzemel. "Április 28-ig nem érkezett további hibás üzenet, és meg tudtuk erősíteni, hogy a javítások a várt módon működnek" - magyarázza a közlemény.
A 1Password műszaki igazgatója, Pedro Canahuati arról is beszámolt, hogy folyamatban van a zavar kivizsgálása az ok elemzése érdekében. Az eredmények segítenek a karbantartási és hibakezelési folyamat finomításában, hogy az incidens ne ismétlődhessen meg.
Az 1Password támogatási fórumain végzett gyors keresés azonban feltár egy szálat, amely ugyanazt a hibaüzenetet vázolja. A közösség egyik tagja nyújtotta be a panaszt, miután 2022 decemberében Mac-eszközén találkozott a hibával, amelyre az 1Password csapata nyilvánosan válaszolt.
Bár nem biztonsági incidens, az 1Password rémület csak hónapokkal azután érkezett LastPass megsértése. A LastPass, egy másik népszerű jelszókezelő, tavaly egy súlyos feltöréstől tántorgott. A rosszindulatú felek ellopták a felhasználók URL-előzményeit, nevét, számlázási címét, e-mail-címét, telefonszámát, IP-címét és titkosított bejelentkezési adatait. A LastPass forráskód egy része is kiszivárgott. Van egy listánk a LastPass alternatívái biztonságtudatos olvasóknak.
1Password soha nem szenvedett biztonsági incidenst. A LastPass feltörése azonban kontextust ad az április 27-i eseményt követő aggasztó spekulációnak.
A hivatalos közlemény nyugalmat vetett a spekulációra. „Nagyon komolyan vesszük az Ön adatainak integritását és rendszereink stabilitását, és továbbra is ezt fogjuk tenni keményen dolgozzon minden nap, hogy elnyerje a belénk fektetett bizalmat” – nyugtatta meg a műszaki igazgató az 1Passwordot vásárlók.