1Hasło nie zostało złamane ani naruszone; niepokojące alerty o zmianie hasła wynikają z nieprawidłowej obsługi
W nocy 27 kwietnia wszyscy aktywni użytkownicy 1Password w USA otrzymali następujące powiadomienie: „Twój tajny klucz lub hasło zostało niedawno zmienione. Aby kontynuować, wprowadź dane nowego konta”. Ponieważ nie zmienili swoich haseł, alert był niepokojący.
Ale popularny menedżer haseł nie został naruszony ani zaatakowany. Powiadomienie zostało omyłkowo wysłane podczas awarii po rutynowej konserwacji i 1Password publiczne dzienniki konserwacji wyjaśnił sytuację zaraz po zdarzeniu.
1Password wydany później oficjalne oświadczenie wyjaśnić, co się stało i przeprosić. Około godziny 21:00 czasu wschodniego tego wieczoru firma 1Password kończyła zaplanowaną konserwację baz danych, gdy jej serwery otrzymały niezwykłą liczbę żądań synchronizacji z urządzeń klienckich. Systemy odrzuciły logowania i zwróciły błąd, który aplikacje klienckie błędnie odczytały jako alert dotyczący zmiany hasła.
Hasła i dane nie zostały faktycznie zmienione ani naruszone. Dla większego bezpieczeństwa 1Password zabezpiecza kopie zapasowe za pomocą szyfrowania. Sprawdź nasze przewodnik po menedżerze haseł dlaczego to jest ważne.
Przerwa w działaniu była krótka i usługa znów jest w pełni gotowa do działania. „Do 28 kwietnia nie było żadnych dodatkowych błędnych komunikatów i mogliśmy potwierdzić, że poprawki działają zgodnie z oczekiwaniami” – wyjaśnia w oświadczeniu.
CTO 1Password Pedro Canahuati poinformował również, że trwa dochodzenie w sprawie zakłóceń w celu przeanalizowania przyczyny. Wyniki pomogą ulepszyć proces konserwacji i obsługi błędów, aby incydent się nie powtórzył.
Jednak szybkie wyszukiwanie na forach pomocy technicznej 1Password ujawnia wątek zawierający ten sam komunikat o błędzie. Członek społeczności złożył skargę po napotkaniu błędu na swoim urządzeniu Mac w grudniu 2022 r., na co zespół 1Password odpowiedział publicznie.
Chociaż nie był to incydent związany z bezpieczeństwem, strach związany z 1Password pojawił się zaledwie kilka miesięcy po Naruszenie LastPass. LastPass, kolejny popularny menedżer haseł, borykał się z poważnym włamaniem w zeszłym roku. Złośliwe strony ukradły historię adresów URL użytkowników, nazwiska, adresy rozliczeniowe, e-maile, numery telefonów, adresy IP i zaszyfrowane dane logowania. Wyciekła również część kodu źródłowego LastPass. Mamy listę alternatywy dla LastPass dla czytelników dbających o bezpieczeństwo.
1Password nigdy nie doznał incydentu bezpieczeństwa. Jednak hack LastPass daje kontekst niepokojącym spekulacjom, które nastąpiły po wydarzeniu z 27 kwietnia.
Oficjalne oświadczenie uciszyło te spekulacje. „Bardzo poważnie podchodzimy do integralności Twoich danych i stabilności naszych systemów i nadal będziemy to robić każdego dnia ciężko pracuj, aby zdobyć zaufanie, jakim nas obdarzyłeś” – dodatkowo zapewnił 1Password dyrektor techniczny klienci.