Le service de gestion des mots de passe 1Password a assuré aux utilisateurs qu'il n'y avait pas de faille de sécurité après avoir envoyé accidentellement des alertes “Clé secrète ou mot de passe modifié”. Comme expliqué, le pépin s'est produit en raison d'une maintenance technique de la base de données.
1Password a envoyé des alertes “Mot de passe modifié” par erreur
Il y a quelques jours, des utilisateurs de 1Password ont été pris de panique après avoir reçu des alertes abruptes du service les informant de certains changements de mot de passe.
Il est intéressant de noter qu'il s'agissait d'un simple problème technique et non d'un grave problème de sécurité, car 1Password a confirmé qu'il n'y avait pas de violation de données.
Dans un billet de blog, Pedro Canahuati, directeur de la technologie de 1Password, a expliqué l'activité de migration de la base de données qui a déclenché le problème. Pendant la période de maintenance, le service a reçu plusieurs demandes de synchronisation de la part des utilisateurs, et au lieu de répondre correctement à ces demandes, l'application a réagi par erreur en refusant de se connecter. Comme indiqué,
Nos serveurs américains ont renvoyé un code d'erreur qui a été interprété de manière incorrecte sur nos applications clientes. Les applications clientes ont affiché un message erroné indiquant : “Ta clé secrète ou ton mot de passe a été récemment modifié. Saisis les détails de ton nouveau compte pour continuer.” En réalité, ni la clé secrète ni le mot de passe n'avaient changé.
Le pépin a existé entre 21h03 et 21h26 ET, affectant les environnements américains du service. Après ce laps de temps, le trafic est revenu à la normale, interrompant tout nouveau rejet de connexion.
En plus de partager les détails via le billet de blog, 1Password a précédemment publié des mises à jour sur sa page d'état pour informer les utilisateurs de la situation.
Comme le montre la chronologie partagée sur la page, 1Password a d'abord informé les utilisateurs de la maintenance prévue pour le 27 avril 2023, le 11 avril 2023. Le 27 avril, le service a posté un court message concernant la maintenance en cours.
Puis, quelques minutes après cette mise à jour des stats, le service a posté une autre mise à jour informant les utilisateurs des messages erronés qui leur ont été envoyés. Il a qualifié le problème d'”effet secondaire involontaire” de l'activité, assurant les utilisateurs qu'aucun changement n'était apporté à leurs mots de passe ou à leurs clés secrètes.
Canahauti a assuré les utilisateurs d'une sécurité totale, expliquant qu'aucune faille de sécurité n'a touché le service. L'événement n'a pas non plus exposé les informations des utilisateurs.
Néanmoins, étant donné que les messages erronés ont stressé les utilisateurs, le directeur technique s'est excusé pour le désagrément.
