1Password explains scary Secret Key and password change alerts
2023/05/02 BleepingComputer — 先日に 1Password で発生した、パスワードの変更に関する顧客への通知というインシデントは、サービスの中断の結果であり、セキュリティ侵害が生じたわけではないとのことだ。1Password のインシデント・レポートが明らかにしたのは、この通知は誤りであること、そして、4月27日 (木) に予定されていた定期的なデータベース・メンテナンスに関連していたことである。
さらに 5月2日には、1Password の CEO である Pedro Canahuati が、より詳細な情報を提供し、顧客のデータには影響がなかったと述べている。
Canahuati は、「4月27日の午後9時3分〜午後9時26分 (米国東部時間) に、1Password は短いサービス停止に見舞われた。ただし、それはセキュリティ・インシデントではなく、顧客データは何ら影響は生じていない。クライアント・アプリケーション上では、次のような不正確なメッセージが表示された: Your Secret Key or password was recently changed. Enter your new account details to continue」と述べている。
Canahuati が説明したように、何も起こっていなかった。サインインが拒否されたバックエンド・データベースの移行に伴う同期要求の急増に、1Password の米国サーバが対応したことが、誤った警告の引き金になったとされる。
そして、同社のクライアント・アプリケーションは、サーバから送信されたエラーコードを誤って解釈し、米国地域の顧客のデバイスへ向けて、誤ったパスワード変更アラートを表示した。しかし、1Password のユーザーは、自身のアカウントへのハッキングや、同社におけるセキュリティ・インシデントを心配した。
1Password の米国環境におけるトラフィックは、4月27日午後9時26分には正常に戻り、追加のサインイン失敗も検出されなかった。さらに 4月28日には、サービスの健全性を監視する際の、追加のエラーメッセージは表示されず、修正プログラムが期待通りに機能していることが確認された。
同社は言及していないが、シークレットキーやパスワードを変更したことがないのに、このようなエラーがユーザーの端末に表示されたのは、今回が初めてのことではない。つまり、2022年12月にも、同様のトラブルが発生していた。
当時の 1Password のチーム・メンバーは、この問題をさらに調査するために、影響を受ける顧客に対して、同社のサポートチームに連絡して詳細を説明するよう指示した。
1Password では、何の変更も行われていないため、このような通知が表示された以前のインスタンスでは、きわめて少数の顧客に影響を与える、マイナーなインシデントが生じていた可能性もある。
今日になって Canahuati は、先週のインシデントで収集したデータを用いて根本的な原因を理解し、データベース移行プロセスやエラー処理を改善すると付け加えている。
彼は、「私たちは、顧客のデータの完全性と、システムの安定性をきわめて重要視している。顧客からの信頼を得るために、日々努力を続けていく」と述べている。
1Password から誤通知があったとのことですが、インシデントではなかったようで良かったですね。1Password のライバルである LastPass が、深刻な状況にあるので、多くのユーザーが心配したはずです。つい先日の 2023/04/13 には、「LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず」という記事がポストされています。よろしければ、LastPass で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.