1Password tidak dilanggar atau disusupi; peringatan perubahan kata sandi yang mengkhawatirkan berasal dari kesalahan penanganan
Pada malam tanggal 27 April, semua pengguna aktif 1Password di AS menerima pemberitahuan berikut, “Kunci Rahasia atau kata sandi Anda baru saja diubah. Masukkan detail akun baru Anda untuk melanjutkan”. Karena mereka belum mengubah kata sandinya, peringatan ini mengkhawatirkan.
Namun pengelola kata sandi yang populer tidak dilanggar atau diserang. Pemberitahuan tersebut salah dikirim saat pemadaman listrik setelah pemeliharaan rutin, dan 1Password log pemeliharaan publik menjelaskan situasinya tepat setelah kejadian itu.
1Password kemudian merilis sebuah pernyataan resmi untuk menjelaskan apa yang terjadi dan meminta maaf. Sekitar jam 9 malam ET pada malam tersebut, 1Password sedang menyelesaikan pemeliharaan basis data terjadwal ketika server mereka menerima permintaan sinkronisasi dalam jumlah yang tidak biasa dari perangkat klien. Sistem menolak proses masuk dan mengembalikan kesalahan yang salah dibaca oleh aplikasi klien sebagai peringatan perubahan kata sandi.
Kata sandi dan data sebenarnya tidak diubah atau terpengaruh. Untuk keamanan tambahan, 1Password mengamankan cadangan dengan enkripsi. Lihat kami panduan pengelola kata sandi mengapa hal itu penting.
Pemadaman ini berlangsung singkat, dan layanan kembali beroperasi penuh. “Pada tanggal 28 April, tidak ada pesan kesalahan tambahan, dan kami dapat mengonfirmasi bahwa perbaikan berfungsi sesuai harapan,” jelas pernyataan itu.
CTO 1Password Pedro Canahuati juga melaporkan bahwa penyelidikan atas gangguan tersebut sedang dilakukan untuk menganalisis penyebabnya. Temuan ini akan membantu mengubah proses pemeliharaan dan penanganan kesalahan, sehingga insiden tersebut tidak terulang kembali.
Namun, pencarian cepat di forum dukungan 1Password mengungkapkan rangkaian pesan kesalahan yang sama. Seorang anggota komunitas mengajukan keluhan setelah mengalami kesalahan pada perangkat Mac mereka pada bulan Desember 2022, yang ditanggapi secara publik oleh tim 1Password.
Meskipun bukan insiden keamanan, ketakutan 1Password terjadi hanya beberapa bulan setelah kejadian tersebut Pelanggaran LastPass. LastPass, pengelola kata sandi populer lainnya, belum pulih dari peretasan parah tahun lalu. Pihak jahat mencuri riwayat URL pengguna, nama, alamat penagihan, email, nomor telepon, alamat IP, dan kredensial login terenkripsi. Beberapa kode sumber LastPass juga bocor. Kami memiliki daftarnya alternatif untuk LastPass untuk pembaca yang sadar akan keamanan.
1Password tidak pernah mengalami insiden keamanan. Namun peretasan LastPass memberikan konteks pada spekulasi mengkhawatirkan yang terjadi setelah peristiwa 27 April.
Pernyataan resmi tersebut menghentikan spekulasi tersebut. “Kami menjaga integritas data Anda dan stabilitas sistem kami dengan sangat serius dan akan terus melakukannya bekerja keras setiap hari untuk mendapatkan kepercayaan yang Anda berikan kepada kami,” CTO lebih lanjut meyakinkan 1Password pelanggan.