1Geslo ni bilo zlorabljeno ali ogroženo; zaskrbljujoča opozorila o spremembi gesla so nastala zaradi napačnega ravnanja z napakami
V noči na 27. april so vsi aktivni uporabniki 1Password v ZDA prejeli naslednje obvestilo: »Vaš skrivni ključ ali geslo je bilo nedavno spremenjeno. Za nadaljevanje vnesite podatke o svojem novem računu. Ker niso spremenili svojih gesel, je bilo opozorilo zaskrbljujoče.
Toda priljubljeni upravitelj gesel ni bil vdrt ali napaden. Obvestilo je bilo pomotoma poslano med izpadom po rednem vzdrževanju in 1Password javne dnevnike vzdrževanja pojasnil situacijo takoj po incidentu.
1Password je pozneje izdal an uradna izjava pojasniti, kaj se je zgodilo, in se opravičiti. Okoli 21. ure po vzhodnem času zadevne noči je 1Password zaključeval načrtovano vzdrževanje baz podatkov, ko so njihovi strežniki prejeli nenavadno število zahtev za sinhronizacijo iz odjemalskih naprav. Sistemi so zavrnili prijave in vrnili napako, ki so jo odjemalske aplikacije napačno prebrale kot opozorilo o spremembi gesla.
Gesla in podatki dejansko niso bili spremenjeni ali prizadeti. Za dodatno varnost 1Password varuje varnostne kopije s šifriranjem. Oglejte si naše vodnik za upravitelja gesel zakaj je to pomembno.
Izpad je bil kratek in storitev spet deluje v celoti. "Do 28. aprila ni bilo dodatnih napačnih sporočil in lahko smo potrdili, da popravki delujejo po pričakovanjih," pojasnjuje izjava.
Tehnični direktor 1Password Pedro Canahuati je tudi poročal, da preiskava motnje poteka, da bi analizirali vzrok. Ugotovitve bodo pomagale prilagoditi postopek vzdrževanja in odpravljanja napak, tako da se incident ne ponovi.
Vendar pa hitro iskanje po forumih za podporo 1Password razkrije nit, ki opisuje isto sporočilo o napaki. Član skupnosti je vložil pritožbo, potem ko je decembra 2022 naletel na napako na svoji napravi Mac, na katero se je ekipa 1Password javno odzvala.
Čeprav ni šlo za varnostni incident, je preplah 1Password prišel le nekaj mesecev po Kršitev LastPass. LastPass, še en priljubljen upravitelj gesel, je lani doživel hud vdor. Zlonamerni uporabniki so ukradli zgodovino URL-jev, imena, naslove za izstavitev računa, e-pošto, telefonske številke, naslove IP in šifrirane poverilnice za prijavo. Ušlo je tudi nekaj izvorne kode LastPass. Imamo seznam alternative za LastPass za bralce, ki se zavedajo varnosti.
1Password ni nikoli utrpel varnostnega incidenta. Toda vdor v LastPass daje kontekst zaskrbljujočim špekulacijam, ki so sledile dogodku 27. aprila.
Uradna izjava je ta ugibanja prekinila. »Celovitost vaših podatkov in stabilnost naših sistemov jemljemo zelo resno in tako bomo tudi nadaljevali trdo delajte vsak dan, da si zaslužite zaupanje, ki ste nam ga namenili,« je 1Password še zagotovil tehnični direktor stranke.