Video: 10 Evernote Hacks & Tips (Oktober 2024)
Den elektroniske personlige arrangøren Evernote tilbakestiller passord for alle brukerne etter at angripere brøt selskapets systemer og fikk tilgang til påloggingsinformasjon, sa selskapet i en e-post til kundene.
Evernote-sikkerhetsteamet oppdaget og blokkerte "mistenkelig aktivitet i nettverket deres som ser ut til å ha vært et koordinert forsøk på å få tilgang til sikre områder" av Evernote-tjenesten, sa selskapet i et blogginnlegg 2. mars. Mens etterforskningen fortsatt pågår, teamet fant databasen som inneholder navn på brukere, e-postadresser og passord hadde blitt tilgang til av angripere.
Evernote forsikret brukere om at selv om passordene hadde blitt utsatt, var skadene begrenset fordi selskapet hadde brukt "enveiskryptering" (hashet og saltet) for å beskytte dataene. Dette betyr at angripere vil ha en vanskeligere tid med å sprekke opp informasjonen for å stjele det faktiske passordet. Selskapet sa også at det ikke var bevis på det tidspunktet at betalingskortdetaljer eller faktisk lagret innhold var blitt utsatt.
"Som en forholdsregel for å beskytte dataene dine, har vi besluttet å implementere en passord-tilbakestilling, " sa Evernote, og la merke til at avgjørelsen gjenspeilte en "overflod av forsiktighet."
Med Evernote kan folk lage lister, lagre notater og organisere personlig informasjon som videoklipp, bilder, websider og reiseruter lagret i skyen. Det California-baserte selskapet anslås å ha 50 millioner brukere.
Tilbakestilling av passord og tips
I e-posten til kundene sa Evernote at brukerne vil bli bedt om å opprette et nytt passord etter at de logger seg inn med opprinnelig legitimasjon. "Når du har tilbakestilt passordet ditt på evernote.com, må du oppgi dette nye passordet i andre Evernote-apper som du bruker, " sa e-posten, for eksempel på mobile enheter. Selskapet oppdaterer noen av appene for å forenkle passordendringsprosessen.
Selskapet inkluderte noen praktiske tips i e-posten sin. Den minnet brukere om å ikke bruke enkle passord basert på ord som finnes i ordboken, og aldri bruke det samme passordet på flere nettsteder eller tjenester.
"Som nyere hendelser med andre store tjenester har vist, blir denne typen aktiviteter mer vanlig, " sa Evernote.
Har du for mange tjenester og kan du ikke følge med på sterke og unike passord for hver enkelt? PCMags Neil Rubenking har sett på flere passordbehandlere, for eksempel 1Password og Editor's Choice LastPass 2.0.
Evernote påminnet også brukere om å aldri klikke på "tilbakestill passord" -koblinger i e-postmeldinger. Det er vanskelig å si når en e-postmelding er et legitimt bruddvarsel fra selskapet, og når det er en phishing-melding for å stjele informasjonen din. Hvis du tror det er brudd, kan du gå til nettstedet og tilbakestille passord ved hjelp av nettstedets passordmekanisme. Ikke klikk på lenken i e-posten.
Evernote gjorde imidlertid en feil. Evernotes e-post, med emnelinjen "Evernote Security Notice: Serivce wide Password Reset", inneholdt noen få innebygde lenker til evernote.com. Imidlertid, hvis brukeren svevet over lenken, syntes evernote.com å henvise til et mkt5371.com-domene, bemerket Graham Cluley fra Sophos i bloggen Naked Security. I dette tilfellet var det en markedsføringsfeil, ettersom domenet eies av e-postkommunikasjonsselskapet Silverpop, som sendte e-posten ut på vegne av Evernote.
Selv om det er forståelig, ser det veldig malplassert ut i en e-post om et sikkerhetsbrudd som prøvde å hamre hjemmet poenget om å "aldri klikke på" tilbakestill passordforespørsler i e-postmeldinger - i stedet gå direkte til tjenesten, "sa Cluley.
"Du kan sikkert forstå hvorfor noen friket av sikkerhetsbruddet i Evernote ville bli skremt for å motta en e-post med slike lenker, " la han til.
