1Password não foi violado ou comprometido; os alertas preocupantes de alteração de senha vieram de tratamento incorreto de erros
Na noite de 27 de abril, todos os usuários ativos do 1Password nos EUA receberam a seguinte notificação: “sua chave secreta ou senha foi alterada recentemente. Insira os detalhes da sua nova conta para continuar”. Como não haviam alterado as senhas, o alerta era preocupante.
Mas o popular gerenciador de senhas não foi violado ou atacado. A notificação foi enviada por engano durante uma interrupção após manutenção de rotina, e o 1Password's registros de manutenção pública explicou a situação logo após o incidente.
1Password lançou mais tarde um declaração oficial para explicar o que aconteceu e pedir desculpas. Por volta das 21h (horário do leste dos EUA) da noite em questão, o 1Password estava concluindo a manutenção programada dos bancos de dados quando seus servidores receberam um número incomum de solicitações de sincronização de dispositivos clientes. Os sistemas rejeitaram os logins e retornaram um erro que os aplicativos clientes interpretaram incorretamente como alerta de alteração de senha.
As senhas e os dados não foram realmente alterados ou afetados. Para maior segurança, 1Password protege backups com criptografia. Confira nosso guia do gerenciador de senhas por que isso é importante.
A interrupção foi breve e o serviço voltou a funcionar totalmente. “Em 28 de abril, não houve mensagens erradas adicionais e pudemos confirmar que as correções estavam funcionando conforme o esperado”, explica o comunicado.
O CTO da 1Password, Pedro Canahuati, também informou que uma investigação da interrupção está em andamento para analisar a causa. As descobertas ajudarão a ajustar o processo de manutenção e tratamento de erros, para que o incidente não ocorra novamente.
No entanto, uma pesquisa rápida nos fóruns de suporte do 1Password revela um tópico descrevendo a mesma mensagem de erro. Um membro da comunidade apresentou a reclamação após encontrar o erro em seu dispositivo Mac em dezembro de 2022, ao qual a equipe 1Password respondeu publicamente.
Embora não seja um incidente de segurança, o susto do 1Password ocorreu apenas alguns meses depois do Violação do LastPass. LastPass, outro gerenciador de senhas popular, vem sofrendo com um grave hack no ano passado. Partes maliciosas roubaram o histórico de URL, nomes, endereços de cobrança, e-mails, números de telefone, endereços IP e credenciais de login criptografadas dos usuários. Parte do código-fonte do LastPass também vazou. Temos uma lista de alternativas ao LastPass para leitores preocupados com a segurança.
1Password nunca sofreu um incidente de segurança. Mas o hack do LastPass contextualiza as especulações preocupantes que se seguiram ao evento de 27 de abril.
A declaração oficial pôs fim a essa especulação. “Levamos muito a sério a integridade dos seus dados e a estabilidade dos nossos sistemas e continuaremos a trabalhe duro todos os dias para ganhar a confiança que você depositou em nós”, o CTO garantiu ainda mais ao 1Password clientes.