1Password non è stata violata o compromessa; i preoccupanti avvisi di modifica della password provenivano da una cattiva gestione degli errori
La notte del 27 aprile, tutti gli utenti attivi di 1Password negli Stati Uniti hanno ricevuto la seguente notifica: “la tua chiave segreta o password è stata modificata di recente. Inserisci i dettagli del tuo nuovo account per continuare”. Poiché non avevano cambiato la password, l’avviso era preoccupante.
Ma il popolare gestore di password non è stato violato o attaccato. La notifica è stata inviata erroneamente durante un'interruzione successiva alla manutenzione ordinaria e quella di 1Password registri di manutenzione pubblica ha spiegato la situazione subito dopo l'incidente.
1Password ha successivamente rilasciato un dichiarazione ufficiale spiegare l'accaduto e chiedere scusa. Intorno alle 21:00 ET della notte in questione, 1Password stava completando la manutenzione programmata dei database quando i suoi server hanno ricevuto un numero insolito di richieste di sincronizzazione dai dispositivi client. I sistemi hanno rifiutato gli accessi e hanno restituito un errore che le app client hanno interpretato erroneamente come avviso di modifica della password.
Le password e i dati non sono stati effettivamente modificati o influenzati. Per una maggiore sicurezza, 1Password protegge i backup con la crittografia. Dai un'occhiata al nostro guida alla gestione delle password perché è importante.
L'interruzione è stata breve e il servizio è nuovamente pienamente operativo. "Entro il 28 aprile non sono stati riscontrati ulteriori messaggi errati e siamo stati in grado di confermare che le correzioni funzionavano come previsto", spiega la dichiarazione.
Anche il CTO di 1Password Pedro Canahuati ha riferito che è in corso un'indagine sull'interruzione per analizzarne la causa. I risultati aiuteranno a modificare il processo di manutenzione e gestione degli errori, in modo che l’incidente non si ripeta.
Tuttavia, una rapida ricerca sui forum di supporto di 1Password rivela un thread che delinea lo stesso messaggio di errore. Un membro della comunità ha presentato un reclamo dopo aver riscontrato l'errore sul proprio dispositivo Mac nel dicembre 2022, al quale il team di 1Password ha risposto pubblicamente.
Sebbene non si tratti di un incidente di sicurezza, l'allarme 1Password è arrivato solo pochi mesi dopo Violazione di LastPass. LastPass, un altro popolare gestore di password, è stato colpito da un grave attacco informatico lo scorso anno. I soggetti malintenzionati hanno rubato la cronologia degli URL, i nomi, gli indirizzi di fatturazione, le e-mail, i numeri di telefono, gli indirizzi IP e le credenziali di accesso crittografate degli utenti. Anche parte del codice sorgente di LastPass è trapelata. Abbiamo un elenco di alternative a LastPass per i lettori attenti alla sicurezza.
1Password non ha mai subito un incidente di sicurezza. Ma l’hacking di LastPass fornisce un contesto alle preoccupanti speculazioni che seguirono l’evento del 27 aprile.
La dichiarazione ufficiale ha messo a tacere quella speculazione. “Prendiamo molto sul serio l’integrità dei vostri dati e la stabilità dei nostri sistemi e continueremo a farlo lavora duro ogni giorno per guadagnarti la fiducia che hai riposto in noi”, ha ulteriormente rassicurato il CTO di 1Password clienti.