1Slaptažodis nebuvo pažeistas ar pažeistas; nerimą keliantys slaptažodžio keitimo įspėjimai kilo dėl netinkamo klaidų tvarkymo
Balandžio 27 d. naktį visi aktyvūs 1Password vartotojai JAV gavo tokį pranešimą: „Jūsų slaptasis raktas arba slaptažodis neseniai buvo pakeistas. Jei norite tęsti, įveskite naujos paskyros informaciją“. Kadangi jie nepakeitė savo slaptažodžių, įspėjimas buvo susirūpinęs.
Tačiau populiari slaptažodžių tvarkyklė nebuvo pažeista ar užpulta. Pranešimas buvo per klaidą išsiųstas per gedimą po įprastinės priežiūros ir naudojant 1 slaptažodį viešosios priežiūros žurnalai paaiškino situaciją iškart po įvykio.
1Password vėliau išleido an oficialus pareiškimas paaiškinti, kas atsitiko, ir atsiprašyti. Aptariamą naktį apie 21 val. ET ET 1Password baigė suplanuotą duomenų bazių priežiūrą, kai jų serveriai gavo neįprastą skaičių sinchronizavimo užklausų iš klientų įrenginių. Sistemos atmetė prisijungimus ir pateikė klaidą, kurią klientų programos klaidingai suprato kaip įspėjimą apie slaptažodžio pakeitimą.
Slaptažodžiai ir duomenys iš tikrųjų nebuvo pakeisti ar paveikti. Siekiant didesnio saugumo, 1Password apsaugo atsargines kopijas su šifravimu. Peržiūrėkite mūsų slaptažodžių tvarkyklės vadovas kodėl tai svarbu.
Nutraukimas buvo trumpas, o paslauga vėl veikia visiškai. „Iki balandžio 28 d. jokių papildomų klaidingų pranešimų nebuvo ir galėjome patvirtinti, kad pataisymai veikė taip, kaip tikėtasi“, – aiškinama pranešime.
1Password CTO Pedro Canahuati taip pat pranešė, kad vyksta sutrikimo tyrimas, siekiant išanalizuoti priežastį. Išvados padės pakoreguoti priežiūros ir klaidų valdymo procesą, kad incidentas nepasikartotų.
Tačiau greita paieška 1Password palaikymo forumuose atskleidžia giją, kurioje pateikiamas tas pats klaidos pranešimas. Bendruomenės narys pateikė skundą po to, kai 2022 m. gruodžio mėn. susidūrė su klaida savo „Mac“ įrenginyje, į kurį 1Password komanda atsakė viešai.
Nors tai nebuvo saugumo incidentas, išgąsdinimas dėl 1 slaptažodžio kilo tik po kelių mėnesių LastPass pažeidimas. „LastPass“, kita populiari slaptažodžių tvarkyklė, praėjusiais metais patyrė rimtą įsilaužimą. Kenkėjiškos šalys pavogė vartotojų URL istoriją, vardus, atsiskaitymo adresus, el. laiškus, telefonų numerius, IP adresus ir užšifruotus prisijungimo duomenis. Taip pat nutekėjo kai kurie LastPass šaltinio kodai. Turime sąrašą „LastPass“ alternatyvos saugumo besirūpinantiems skaitytojams.
1Password niekada nebuvo patyręs saugumo incidento. Tačiau „LastPass“ įsilaužimas suteikia konteksto nerimą keliančioms spėlionėms, kilusioms po balandžio 27 d.
Oficialus pareiškimas sustabdė šias spėliones. „Labai rimtai žiūrime į jūsų duomenų vientisumą ir mūsų sistemų stabilumą ir laikysimės toliau kiekvieną dieną sunkiai dirbkite, kad užsitarnautumėte pasitikėjimą, kurį suteikėte mumis“, – dar kartą patikino CTO 1Password. klientų.