Evernote מאפס סיסמאות לאחר שהתוקפים גונבים נתוני כניסה

המארגנת האישית המקוונת Evernote איתחלה סיסמאות לכל משתמשיה לאחר שהתוקפים הפרו את מערכות החברה וגישה לתעודות הכניסה, כך מסרה החברה בהודעת דוא"ל ללקוחות.

צוות האבטחה Evernote גילה וחסם את "פעילות חשודה ברשת שלהם שנראית כניסיון מתואם לגישה לאזורים מאובטחים" של שירות Evernote, כך מסרה החברה בפוסט בבלוג 2. מרץ. בעוד החקירה עדיין נמשכת, צוות מצא בבסיס הנתונים שמות של משתמשים, כתובות דוא"ל וסיסמאות הועמדו לרשות התוקפים.

Evernote הבטיחה למשתמשים שלמרות שהסיסמאות נחשפו, הנזק היה מוגבל מכיוון שהחברה השתמשה ב"הצפנה חד-כיוונית "(ממהרת ומומלחת) כדי להגן על הנתונים. המשמעות היא שלתוקפים יהיה קשה יותר לפצח את המידע כדי לגנוב את הסיסמה בפועל. מהחברה נמסר עוד כי לא נמצאו עדויות לכך שנחשפו פרטי כרטיס תשלום או תוכן מאוחסן בפועל.

"כאמצעי זהירות לשמירה על הנתונים שלך, החלטנו ליישם איפוס סיסמה", אמר אברנוטה, וציין כי ההחלטה שיקפה "שפע זהירות".

Evernote מאפשרת לאנשים להכין רשימות, לאחסן הערות ולארגן מידע אישי כגון קטעי וידיאו, תמונות, דפי אינטרנט ומסלולי טיול המאוחסנים בענן. על פי הערכות החברה הקליפורנית מכילה 50 מיליון משתמשים.

איפוס סיסמא וטיפים

בהודעת הדוא"ל ללקוחות, מסר Evernote שמשתמשים יתבקשו ליצור סיסמה חדשה לאחר כניסתם עם האישורים המקוריים שלהם. "לאחר שתאפס את הסיסמה שלך ב- evernote.com, תצטרך להזין סיסמה חדשה זו באפליקציות אחרות של Evernote בהן אתה משתמש", נכתב בהודעת הדוא"ל, למשל במכשירים ניידים. החברה מעדכנת חלק מהיישומים כדי לפשט את תהליך שינוי הסיסמה.

החברה כללה כמה טיפים מעשיים במייל שלה. זה הזכיר למשתמשים לא להשתמש בסיסמאות פשוטות המבוססות על מילים שנמצאו במילון ולעולם לא להשתמש באותה סיסמה באתרים או שירותים מרובים.

"כפי שהוכיחו אירועים אחרונים עם שירותים גדולים אחרים, פעילות מסוג זה הופכת לשכיחה יותר", אמר אברנוטה.

האם יש לך יותר מדי שירותים ואינך יכול לעקוב אחר סיסמאות חזקות וייחודיות לכל אחד מהם? Neil Rubenking של PCMag בחן כמה מנהלי סיסמאות, כמו 1Password ו- Choice LastPass 2.0 של העורך.

Evernote הזכירה למשתמשים אף פעם לא ללחוץ על קישורי "איפוס סיסמה" בהודעות דוא"ל. קשה לדעת מתי הודעת דוא"ל היא הודעת הפרה לגיטימית של החברה, ומתי מדובר בהודעת דיוג שתגנוב את המידע שלך. אם אתה חושב שיש הפרה, עבור לאתר ואתחל סיסמאות באמצעות מנגנון הסיסמה של האתר. אל תלחץ על הקישור בדוא"ל.

אבל אברנוטה עשתה טעות אחת. הדוא"ל של Evernote, עם שורת הנושא "הודעת אבטחה של Evernote: איפוס סיסמא לרוחב Serivce", הכיל כמה קישורים משובצים ל- evernote.com. עם זאת, אם המשתמש ריחף מעל הקישור, נראה כי evernote.com מכוון לתחום mkt5371.com, ציין גרהם קלולי מסופוס בבלוג של Naked Security. במקרה זה, זו הייתה טעות שיווקית, שכן הדומיין נמצא בבעלות חברת התקשורת הדוא"ל סילברפופ, ששלחה את הדוא"ל בשמו של אברנוטה.

למרות שזה מובן, זה "נראה לא במקום בדוא"ל על הפרת אבטחה שניסתה לפגוע הביתה את הנקודה 'אל תלחץ על' בקשות לאפס סיסמה 'בהודעות דוא"ל - במקום זאת ישיר ישירות לשירות, " אמר קלולי.

"אתה בהחלט יכול להבין מדוע מישהו שהתחרפן מהפרת האבטחה של Evernote ייבהל לקבל דוא"ל עם קישורים כאלה, " הוסיף.