1Password は、顧客がパスワードの変更に関する通知を受け取る原因となった最近の事件は、サービスの中断の結果であり、セキュリティ違反ではなかったと述べています.
同社は 5 日前のインシデント レポートで、通知が誤りであり、4 月 27 日木曜日に予定されている定期的なデータベース メンテナンスに関連していることを最初に明らかにしました。
本日、1Password の最高技術責任者 (CTO) である Pedro Canahuati 氏が詳細を提供し、顧客の情報は影響を受けていないと述べました。
「4 月 27 日午後 9 時 3 分~午後 9 時 26 分 (米国東部時間) に、1Password は短時間のサービス停止を経験しました。これはセキュリティ インシデントではなく、顧客データはまったく影響を受けませんでした」と Canahuati 氏は述べています。
「クライアント アプリケーションで、次のような誤ったメッセージが表示されました。秘密鍵またはパスワードが最近変更されました。続行するには、新しいアカウントの詳細を入力してください。」
しかし、カナワティが説明したように、これは起こりませんでした。誤ったアラートは、1Password の米国サーバーが、サインイン拒否を伴うバックエンド データベースの移行後の同期要求の急増に応答したことによってトリガーされました。
クライアント アプリケーションは、サーバーから送信されたエラー コードを誤って解釈し、米国地域の顧客のデバイスに誤ったパスワード変更アラートを表示しました。
しかし、1Passwords のユーザーは、自分のアカウントがハッキングされたり、会社がセキュリティ インシデントに見舞われたりするのではないかと心配していたため、これらのアラートは見過ごされませんでした。
1Password の米国環境のトラフィックは、4 月 27 日の午後 9 時 26 分 (米国東部時間) までに通常に戻り、それ以上のサインイン試行の失敗は検出されませんでした。
4 月 28 日までに、サービスの状態を監視している間、追加のエラー メッセージは表示されず、修正が期待どおりに機能していることが確認されました。
同社はそれについて言及していませんが、このようなエラーがユーザーのデバイスに表示されたのはこれが初めてではなく、 2022 年 12 月までさかのぼる報告もありますが、秘密鍵やパスワードを変更したことはありません.
当時、1Password のチーム メンバーは、問題をさらに調査できるように、影響を受けた顧客に会社のサポート チームに連絡して詳細を提供するように指示しました。
1Password からの他の更新は追加されていないため、そのような通知が表示された以前のインスタンスは、はるかに少数の顧客に影響を与えるマイナーなインシデントに関連している可能性があります.
Canahuati は本日、1Password が先週のインシデントで収集されたデータを使用して根本原因を理解し、データベース移行プロセスとエラー処理を改善すると付け加えました。
「私たちはあなたのデータの完全性と私たちのシステムの安定性を非常に真剣に受け止めており、あなたが私たちに寄せてくれた信頼を得るために毎日一生懸命働き続けます.
Comments