Zuhause Sicherheitsuhr Evernote setzt Kennwörter zurück, nachdem Angreifer Anmeldedaten gestohlen haben

Evernote setzt Kennwörter zurück, nachdem Angreifer Anmeldedaten gestohlen haben

Video: Notizen verwalten mit Evernote (Dezember 2024)

Video: Notizen verwalten mit Evernote (Dezember 2024)
Anonim

Online-Personal Organizer Evernote setzte die Passwörter für alle Benutzer zurück, nachdem Angreifer das System des Unternehmens verletzt und auf Anmeldeinformationen zugegriffen hatten, teilte das Unternehmen den Kunden in einer E-Mail mit.

Das Evernote-Sicherheitsteam entdeckte und blockierte "verdächtige Aktivitäten in seinem Netzwerk, die anscheinend ein koordinierter Versuch waren, auf sichere Bereiche zuzugreifen". Dies teilte das Unternehmen in einem Blogbeitrag vom 2. März mit Es wurde festgestellt, dass Angreifer auf die Datenbank mit Benutzernamen, E-Mail-Adressen und Kennwörtern zugegriffen haben.

Evernote versicherte den Benutzern, dass der Schaden begrenzt sei, obwohl die Passwörter offen gelegt worden seien, da das Unternehmen zum Schutz der Daten "Einweg-Verschlüsselung" (gehasht und gesalzen) verwendet habe. Dies bedeutet, dass es Angreifern schwerer fallen würde, die Informationen zu knacken, um das eigentliche Passwort zu stehlen. Das Unternehmen gab auch an, dass zum Zeitpunkt der Enthüllung von Zahlungskartendaten oder tatsächlich gespeicherten Inhalten keine Beweise vorlagen.

"Als Vorsichtsmaßnahme für den Schutz Ihrer Daten haben wir beschlossen, ein Zurücksetzen des Passworts durchzuführen", sagte Evernote.

Mit Evernote können Benutzer Listen erstellen, Notizen speichern und persönliche Informationen wie Videoclips, Bilder, Webseiten und Routen, die in der Cloud gespeichert sind, verwalten. Das in Kalifornien ansässige Unternehmen hat schätzungsweise 50 Millionen Nutzer.

Passwort zurücksetzen und Tipps

In der E-Mail an Kunden wird Evernote darauf hingewiesen, dass Benutzer aufgefordert werden, ein neues Kennwort zu erstellen, nachdem sie sich mit ihren ursprünglichen Anmeldeinformationen angemeldet haben. "Sobald Sie Ihr Passwort auf evernote.com zurückgesetzt haben, müssen Sie dieses neue Passwort in anderen von Ihnen verwendeten Evernote-Apps eingeben", heißt es in der E-Mail, beispielsweise auf Mobilgeräten. Das Unternehmen aktualisiert einige der Apps, um den Prozess der Kennwortänderung zu vereinfachen.

Das Unternehmen hat einige praktische Tipps in seine E-Mail aufgenommen. Es erinnerte Benutzer daran, keine einfachen Kennwörter zu verwenden, die auf Wörtern basieren, die im Wörterbuch gefunden wurden, und niemals dasselbe Kennwort für mehrere Websites oder Dienste zu verwenden.

"Wie die jüngsten Ereignisse mit anderen großen Diensten gezeigt haben, wird diese Art von Aktivität immer häufiger", sagte Evernote.

Haben Sie zu viele Dienste und können nicht für jeden einzelne sichere und eindeutige Kennwörter nachverfolgen? Neil Rubenking von PCMag hat sich mit mehreren Passwort-Managern befasst, darunter 1Password und Editor's Choice LastPass 2.0.

Evernote erinnerte die Benutzer auch daran, in E-Mails niemals auf die Links zum Zurücksetzen des Passworts zu klicken. Es ist schwer zu sagen, wann eine E-Mail-Nachricht eine legitime Benachrichtigung über einen Verstoß des Unternehmens darstellt und wann es sich um eine Phishing-Nachricht handelt, die Ihre Informationen stehlen soll. Wenn Sie vermuten, dass ein Verstoß vorliegt, rufen Sie die Site auf und setzen Sie die Kennwörter mithilfe des Kennwortmechanismus der Site zurück. Klicken Sie niemals auf den Link in der E-Mail.

Evernote hat jedoch einen Fehler gemacht. Die E-Mail von Evernote mit dem Betreff "Evernote-Sicherheitshinweis: Serivce-wide Password Reset" enthielt einige eingebettete Links zu evernote.com. Wenn sich der Benutzer jedoch über dem Link befand, schien evernote.com auf eine Domäne von mkt5371.com zu verweisen, stellte Graham Cluley von Sophos im Blog Naked Security fest. In diesem Fall handelte es sich um einen Marketingfehler, da die Domain der E-Mail-Kommunikationsfirma Silverpop gehört, die die E-Mail im Namen von Evernote versendet hat.

Obwohl es verständlich ist, "sieht es in einer E-Mail sehr unangebracht aus, wenn es um eine Sicherheitsverletzung geht, bei der versucht wurde, den Punkt" Niemals auf "Passwort zurücksetzen" in E-Mails zu klicken - stattdessen direkt zum Dienst zu gehen ", sagte Cluley.

"Sie könnten sicherlich verstehen, warum jemand, der von der Evernote-Sicherheitsverletzung ausgeflippt ist, alarmiert ist, eine E-Mail mit solchen Links zu erhalten", fügte er hinzu.

Evernote setzt Kennwörter zurück, nachdem Angreifer Anmeldedaten gestohlen haben