Video: Evernote 10 - Why Users Are Not Happy With It! (September 2024)
Personlig online-organisator Evernote återställer lösenord för alla sina användare efter att angriparna bröt mot företagets system och fått inloggningsuppgifter, sade företaget i ett e-postmeddelande till kunderna.
Evernote-säkerhetsteamet upptäckte och blockerade "misstänksam aktivitet i deras nätverk som verkar ha varit ett samordnat försök att få åtkomst till säkra områden" i Evernote-tjänsten, sade företaget i ett blogginlägg mars 2. Medan utredningen fortfarande pågår team hittade databasen med namnen på användare, e-postadresser och lösenord hade nåtts av angripare.
Evernote försäkrade användare att trots att lösenorden hade blivit exponerade, var skadan begränsad eftersom företaget hade använt "envägskryptering" (hashad och saltad) för att skydda uppgifterna. Detta innebär att angriparna skulle ha en svårare tid att spricka informationen för att stjäla det faktiska lösenordet. Företaget sa också att det inte fanns några bevis vid den tidpunkten på att betalningskortsinformation eller faktiskt lagrat innehåll hade blivit exponerat.
"Som en försiktighetsåtgärd för att skydda dina data har vi beslutat att genomföra en lösenordsåterställning, " sade Evernote och noterade att beslutet återspeglade ett "överflöd av försiktighet."
Med Evernote kan människor göra listor, lagra anteckningar och organisera personlig information som videoklipp, bilder, webbsidor och resplaner lagrade i molnet. Det Kalifornienbaserade företaget beräknas ha 50 miljoner användare.
Återställ lösenord och tips
I e-postmeddelandet till kunderna sade Evernote att användare kommer att uppmanas att skapa ett nytt lösenord när de loggar in med sina ursprungliga referenser. "När du har återställt ditt lösenord på evernote.com måste du ange det nya lösenordet i andra Evernote-appar som du använder, " sade e-postmeddelandet, till exempel på mobila enheter. Företaget uppdaterar några av apparna för att förenkla lösenordsändringsprocessen.
Företaget inkluderade några praktiska tips i sin e-post. Det påminde användare om att inte använda enkla lösenord baserade på ord som finns i ordboken och aldrig använda samma lösenord på flera webbplatser eller tjänster.
"Som de senaste händelserna med andra stora tjänster har visat sig, blir denna typ av aktivitet vanligare, " sade Evernote.
Har för många tjänster och kan inte hålla reda på starka och unika lösenord för var och en? PCMags Neil Rubenking har tittat på flera lösenordshanterare, till exempel 1Password och Editor's Choice LastPass 2.0.
Evernote påminde också användare att aldrig klicka på "återställ lösenord" -länkar i e-postmeddelanden. Det är svårt att veta när ett e-postmeddelande är ett legitimt meddelande om brott från företaget och när det är ett phishing-meddelande för att stjäla din information. Om du tror att det finns ett intrång, gå till webbplatsen och återställ lösenord med webbplatsens lösenordsmekanism. Klicka aldrig på länken i e-postmeddelandet.
Evernote gjorde dock ett misstag. Evernotes e-post med ämnesraden "Evernote Security Notice: Serivce wide Password Reset" innehöll några inbäddade länkar till evernote.com. Men om användaren svävde över länken tycktes evernote.com leda till en mkt5371.com-domän, konstaterade Graham Cluley från Sophos på bloggen Naked Security. I det här fallet var det ett marknadsföringsfel, eftersom domänen ägs av e-postkommunikationsföretaget Silverpop, som skickade e-postmeddelandet på Evernotes vägnar.
Även om det är förståeligt "ser det mycket ut på plats i ett e-postmeddelande om ett säkerhetsöverträdelse som försökte hamra hem poängen att" aldrig klicka på "återställ lösenord" förfrågningar i e-postmeddelanden - gå istället direkt till tjänsten, "sade Cluley.
"Du kan säkert förstå varför någon lurade ut genom Evernote-säkerhetsöverträdelsen skulle bli rädd för att få ett e-postmeddelande med sådana länkar, " tillade han.
