1Password indique qu’un incident récent qui a amené les clients à recevoir des notifications sur les mots de passe modifiés était le résultat d’une interruption de service et non d’une faille de sécurité.
La société a révélé pour la première fois dans un rapport d’incident il y a cinq jours que les notifications étaient erronées et liées à la maintenance de routine de la base de données prévue le jeudi 27 avril.
Aujourd’hui, le directeur de la technologie (CTO) de 1Password, Pedro Canahuati, a fourni plus de détails et a déclaré que les informations des clients n’étaient pas affectées.
« Le 27 avril, entre 21 h 03 et 21 h 26 HE, 1Password a connu une brève interruption de service. Il ne s’agissait pas d’un incident de sécurité et les données des clients n’ont été affectées d’aucune façon », a déclaré Canahuati.
« Les applications clientes ont affiché un message incorrect indiquant : votre clé secrète ou votre mot de passe a été récemment modifié. Entrez les détails de votre nouveau compte pour continuer. »
Cependant, comme l’a expliqué Canahuati, cela ne s’est pas produit. Les alertes erronées ont été déclenchées par les serveurs américains de 1Password répondant à un pic de demandes de synchronisation suite à la migration des bases de données principales avec des refus de connexion.
Les applications clientes interprétaient incorrectement le code d’erreur envoyé par les serveurs et affichaient les alertes de changement de mot de passe incorrectes sur les appareils des clients dans la région des États-Unis.
Cependant, ces alertes ne sont pas passées inaperçues, les utilisateurs de 1Passwords craignant que leurs comptes aient été piratés ou que l’entreprise ait subi un incident de sécurité.
Le trafic dans l’environnement américain de 1Password est revenu à la normale à 21h26 HE le 27 avril, sans qu’aucune autre tentative de connexion échouée n’ait été détectée.
Le 28 avril, aucun message erroné supplémentaire n’est apparu lors de la surveillance de l’état du service, et il a été confirmé que les correctifs fonctionnaient comme prévu.
Bien que l’entreprise ne l’ait pas mentionné, ce n’était pas la première fois que de telles erreurs apparaissaient sur les appareils des utilisateurs, certains rapports remontant à décembre 2022, même s’ils n’ont jamais changé leur clé secrète ou leurs mots de passe.
À l’époque, les membres de l’équipe 1Password ont demandé aux clients concernés de contacter l’équipe d’assistance de l’entreprise pour fournir plus de détails afin que le problème puisse être étudié plus en détail.
Étant donné qu’aucune autre mise à jour de 1Password n’a été ajoutée, les instances précédentes de telles notifications apparaissant étaient probablement liées à des incidents mineurs affectant un nombre beaucoup plus restreint de clients.
Canahuati a ajouté aujourd’hui que 1Password utiliserait les données collectées lors de l’incident de la semaine dernière pour comprendre la cause profonde et améliorer les processus de migration de base de données et la gestion des erreurs.
« Nous prenons très au sérieux l’intégrité de vos données et la stabilité de nos systèmes et continuerons à travailler dur chaque jour pour gagner la confiance que vous nous accordez », a déclaré Canahuati.