2/3/2013
Evernote właśnie poinformował o włamaniu na swoje serwery. Wyciekły adresy e-mail użytkowników oraz hashe haseł. Jeśli jesteście w grupie 50 milionów (sic!) osób, która korzysta z usług tego całkiem użytecznego oprogramowania, powinniście jak najszybciej zmienić hasło do swojego konta (i każdego innego miejsca w sieci, gdzie korzsytaliście z tego samego hasła).
Evernote zhackowany, ale dane nie wyciekły
Firma twierdzi, że o ile włamywacze wykradli nazwy użytkowników, e-maile i hashe haseł (z saltem), to nie dostali sie do składowanych w Evernote danych i kart kredytowych. Proponujemy jednak założyć najgorsze i zastanowić się, co by się stało, gdyby ktoś opublikował w internecie rzeczy, które trzymacie w swoich notatnikach na Evernote?
Evernote
Pamiętajcie:
wszystko co umieszczacie w sieci (aka “w chmurze”), powinno być traktowane jako wiadomość publiczna
Z tego powodu wszelkie kompromitujące materiały należy szyfrować przed umieszczeniem w internecie. Pomóc może Wam w tym darmowe oprogramowanie typu gpg lub TrueCrypt — ba! nawet zwykłe archiwum ZIP na hasło jest bezpieczniejsze niż ślepa wiara w to, że “prywatne wiadomości” są prywatne (por. Dziura w Facebooku ujawnia prywatne zdjęcia użytkowników).
Kto stoi za włamaniem i jak przełamano zabezpieczenia Evernote?
Tego nie wiemy. Evernote twierdzi, że atak odkryli administratorzy firmy i delikatnie sugeruje, że ostatnio tego typu włamania przydarzyły się innym firmom (chodzi zapewne o ataki Facebooka i Twittera poprzez 0day na Javę).
Evernote wymusił już zmianę haseł — po zalogowaniu zostaniecie poproszeni o wybranie nowego hasła. Warto wybrać unikatowe, nie używane nigdzie indziej hasło. I uczynić to szybko, zwłaszcza, jeśli hasło do skrzynki pocztowej ktoś miał takie samo jak do Evernote’a…
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Hasła nie trzeba “jak najszybciej zmieniać”, gdyż zostały po prostu brutalnie zresetowane wszystkim.
Dopóki ktoś nie ma takiego samego jak do e-maila, wtedy sobie PanZły zresetuje hasło do Evernote’a sam… Stąd zapewne w artykule “nacisk na prędkość działania” :)
nie wiem czy brutalnie zresetowane, u mnie w ogole z maila nie musialem korzytac..
po zalogowaniu sie na stronie starym haslem byla prosba o zmiane hasla
Po zalogowaniu na stronę wyświetlany jest formularz do zmiany hasła. Czyli przynajmniej to pozytywnie :)
Ale co w tym pozytywnego? Równie dobrze osoba trzecia, która poznała Twoje hasło, może przy pierwszym logowaniu je sobie zmienić (bez dostępu do e-maila) ;)
A gdzie ewangelizacja pt. dwuskładnikowe uwierzytelnianie? Jestem rozczarowany.
Żarty żartami, ale chciałbym żeby Evernote je wprowadziło. Może teraz to przemyślą?
Jak zwykle wprowadzą uwierzytelnianie dwuskładnikowe po włamaniu…
zastanawialem sie wlasnie dlaczego na tablecie nagle mialem blad autoryzacji do Evernote..
Szyfrowanie materiałów umieszczanych na Evernote pozbawia ten serwis jakiejkolwiek wartości.
Jeśli materiał byłby rozszyfrowany w locie na tablecie/telefonie to czemu miałoby to pozbawiać sensu? Istniałoby jedynie ryzyko utraty danych po straceniu klucza…
o mamo! zbiór moich przepisów kulinarnych ujrzałby światło dzienne! szok! :o
odnosnie “Pamietajcie”: do czesci uslug chmurowych sa nakladki pozwalajace transparentnie szyfrowac dane za pomoca gpg np BaxCryptor dla dropboxa – z ktorego na codzien korzystam.
Po za tym trzymanie w sieci nie oznacza trzymania “aka w chmurze” więc darujcie sobie tą nagonkę na Cloud Computing.
Dzięki, kiedyś miałem tam konto, zmieniłem hasło na byle jakie potem zmieniłem email a na końcu wywaliłem całe konto ( usunąłem )
Ale jesteś PRO. ;P
A tak na serio to po co o tym piszesz?
@Kamil: w tym samym celu, w którym Ty opublikowałeś swój
komentarz. Znaczy bez powodu.
Cóż by się stało jakby wyciekły do sieci?
Otóż cały świat dowiedziałby się co miałem na wczorajszej liście zakupów ;)
Chyba nikt nie trzeba nic poważnego w takim serwisie jak Evernote.
“Z tego powodu wszelkie kompromitujące materiały należy szyfrować przed umieszczeniem w internecie.”
Słyszałem to hasło już wielokrotnie, ale przecież to nie jest żadne zabezpiecznie… Co z tego, że teraz jakieś szyfrowanie jest uznawane za bezpieczne. Za 20 lat będzie je można złamać gadżecie kupowanym dzieciom. Więc?
Dla mnie to jest tylko odsuwanie skutków w czasie. Ktoś za 20 lat zostanie pierwszoligowym politykiem (księdzem/whatever), a tu nagle jakieś kompromitujące fotki wypływają i koniec kariery. Już pomijając ewentualne dowody jakiegoś przestępstwa.
Nie masz pojęcia na tematy o których się wypowiadasz.
Przeproś i wyjdź.
@Marcin, patrząc na zmiany które zaszły w ostatnich 20 latach… można powiedzieć, że za następne 20 lat to co jest dziś kompromitujące będzie TRENDY ;-)
Przestępstwa się przedawniają, a sprawy�sprzed lat są często politykom wybaczane ;)
Niemniej faktycznie szyfrowanie nie jest dobre dla materiałów, które mają nigdy nie ujrzeć światła dziennego.
Ciekawe czy ktoś wykorzystywał Evernote do… zapisywania sobie haseł do banków i różnych innych serwisów! Zamiast zółtych karteczek przy monitorze.
:)
Ale Evernote oferuje również szyfrowanie notatek, a hasła
do szyfrowania nie zapisuje w internetowej bazie.
Coś tak kojarzę, że z rok temu pojawił się gdzieś na *ptr wpis związany z Evernote, właśnie w kontekście informacji o wycieku, celem “wspomożenia startupa”. Może wyciek jednak nie nastąpił, tylko chodzi o reklamę…
Tak przy okazji, jeżeli takie “hakiery” mają hasha hasła i
go łamią, to co otrzymują? Dokładne hasło, czy tylko ciąg znaków
który da ten sam hash co właściwe haslo?
zalezy jak hashowane, ale istnieje cos takiego jak kolizja
hashy i wtedy wlasnie mozna uzyskac teoretycznie taki sam hash z 2
roznych danych wejsciowych. Ale zazwyczaj uzyskuje sie dane 1:1 i w
sumie o to chodzi bo potem sie probuje to samo haslo wykorzystac w
innych witrynach
Tak sobie policzyłem z ciekawości ile to danych… średnia
długość email – powiedzmy 20 bajtów. średnia długość hash –
powiedzmy 60 bajtów – bcrypt. soli nie znamy więc olejmy to… 50
000 000 * ( 20 + 60 ) ~= 3.73 GiB Można by z tego zrobić film full
hd.
[…] kilka naszych artykułów na temat bohaterów grafiki: – Atak na Evernote (najprawdopodobniej 0day’em przez Javę) – Wyciek danych z Apple na skutek kradzieży laptopa FBI – Wyciek z Ubisoftu (zresztą […]