1Password is niet geschonden of gecompromitteerd; de verontrustende waarschuwingen voor het wijzigen van wachtwoorden kwamen voort uit verkeerd omgaan met fouten
In de nacht van 27 april ontvingen alle actieve 1Password-gebruikers in de VS de volgende melding: “uw geheime sleutel of wachtwoord is onlangs gewijzigd. Voer uw nieuwe accountgegevens in om door te gaan”. Omdat ze hun wachtwoorden niet hadden gewijzigd, was de waarschuwing zorgwekkend.
Maar de populaire wachtwoordbeheerder werd niet geschonden of aangevallen. De melding werd per ongeluk verzonden tijdens een storing na routineonderhoud en die van 1Password openbare onderhoudslogboeken legde de situatie direct na het incident uit.
1Password bracht later een officiele verklaring om uit te leggen wat er is gebeurd en zich te verontschuldigen. Rond 21.00 uur ET van de betreffende nacht was 1Password bezig met het voltooien van het geplande onderhoud van databases toen hun servers een ongebruikelijk aantal synchronisatieverzoeken ontvingen van clientapparaten. De systemen hebben de aanmeldingen afgewezen en een fout geretourneerd die client-apps verkeerd hebben gelezen als waarschuwing voor het wijzigen van het wachtwoord.
Wachtwoorden en gegevens zijn niet daadwerkelijk gewijzigd of beïnvloed. Voor extra veiligheid beveiligt 1Password back-ups met encryptie. Bekijk onze handleiding voor wachtwoordbeheer waarom dat belangrijk is.
De storing was van korte duur en de dienst is weer volledig operationeel. “Op 28 april waren er geen verdere foutieve berichten meer en konden we bevestigen dat de oplossingen werkten zoals verwacht”, legt de verklaring uit.
1Password CTO Pedro Canahuati meldde ook dat er een onderzoek naar de verstoring gaande is om de oorzaak te analyseren. De bevindingen zullen helpen het onderhouds- en foutafhandelingsproces aan te passen, zodat het incident zich niet opnieuw voordoet.
Een snelle zoekopdracht op de 1Password-ondersteuningsforums onthult echter een draad met dezelfde foutmelding. Een communitylid diende de klacht in nadat hij de fout in december 2022 op zijn Mac-apparaat had aangetroffen, waarop het 1Password-team publiekelijk reageerde.
Hoewel het geen veiligheidsincident was, kwam de angst voor 1Password slechts enkele maanden na het incident LastPass-schending. LastPass, een andere populaire wachtwoordbeheerder, heeft vorig jaar last gehad van een ernstige hack. Kwaadwillige partijen hebben de URL-geschiedenis, namen, factuuradressen, e-mails, telefoonnummers, IP-adressen en gecodeerde inloggegevens van gebruikers gestolen. Een deel van de LastPass-broncode lekte ook. Wij hebben een lijst van alternatieven voor LastPass voor veiligheidsbewuste lezers.
1Password heeft nog nooit een beveiligingsincident meegemaakt. Maar de LastPass-hack geeft wel context aan de zorgwekkende speculaties die volgden op het evenement van 27 april.
De officiële verklaring maakte een einde aan die speculatie. “Wij nemen de integriteit van uw gegevens en de stabiliteit van onze systemen zeer serieus en zullen dat ook blijven doen werk elke dag hard om het vertrouwen te verdienen dat u in ons stelt”, stelde de CTO 1Password verder gerust klanten.