Видео: Evernote for Desktop: Share a note (Ноември 2024)
Онлайн личният организатор Evernote нулира паролите за всички свои потребители, след като нападателите нарушиха системите на компанията и получиха достъп до идентификационни данни за вход, се казва в съобщението на компанията до имейл.
Екипът за сигурност на Evernote откри и блокира "подозрителната активност в тяхната мрежа, която изглежда е координиран опит за достъп до защитени зони" на услугата Evernote, заяви компанията в блог пост, март 2. Докато разследването все още продължава, екип намери базата данни, съдържаща имена на потребители, имейл адреси и пароли, до които са били достъпни от нападателите.
Evernote увери потребителите, че въпреки че паролите са били изложени, щетите са ограничени, тъй като компанията е използвала „еднопосочно криптиране“ (хеширано и осолено) за защита на данните. Това означава, че нападателите ще имат по-труден момент да кракат информацията, за да откраднат действителната парола. Компанията също така заяви, че по това време няма доказателства, че данните за разплащателната карта или действително съхраняваното съдържание са били изложени.
„Като предпазна мярка, за да защитим вашите данни, решихме да приложим нулиране на паролата“, каза Evernote, отбелязвайки, че решението отразява „изобилие от предпазливост“.
Evernote позволява на хората да правят списъци, да съхраняват бележки и да организират лична информация като видеоклипове, изображения, уеб страници и маршрути, съхранявани в облака. Базираната в Калифорния компания има приблизително 50 милиона потребители.
Нулиране на парола и съвети
В имейла до клиентите Evernote каза, че потребителите ще бъдат подканени да създадат нова парола, след като влязат с оригиналните си идентификационни данни. "След като зададете нова парола на evernote.com, ще трябва да въведете тази нова парола в други приложения на Evernote, които използвате", се казва в имейла, например на мобилни устройства. Компанията актуализира някои от приложенията, за да опрости процеса на смяна на паролата.
Компанията включи няколко практически съвета в имейла си. Той напомни на потребителите да не използват прости пароли въз основа на думи, намерени в речника и никога да не използват една и съща парола в множество сайтове или услуги.
"Както показаха последните събития с други големи услуги, този тип дейност става все по-често срещан", каза Евернот.
Имате твърде много услуги и не можете да следите силни и уникални пароли за всяка от тях? Neil Rubenking на PCMag разгледа няколко мениджъра на пароли, като 1Password и Editor's Choice LastPass 2.0.
Evernote също напомни на потребителите никога да не натискат връзките „нулиране на паролата“ в имейлите. Трудно е да се каже кога имейл съобщението е законно уведомление за нарушение от компанията и кога е фишинг съобщение, за да открадне вашата информация. Ако смятате, че има нарушение, отидете на сайта и нулирайте паролите, използвайки механизма за парола на сайта. Никога не кликнете върху връзката в имейла.
Evernote обаче направи една грешка. Електронният имейл на Evernote с темата „Известие за сигурност на Evernote: Възстановяване на паролата за целия пакет“ съдържа няколко вградени връзки към evernote.com. Ако обаче потребителят задържи връзката, изглежда, че evernote.com се насочва към mkt5371.com домейн, отбеляза Греъм Клули от Sophos в блога Naked Security. В този случай това беше маркетингова грешка, тъй като домейнът е собственост на фирмата за електронна комуникация Silverpop, която изпрати имейла от името на Evernote.
Макар и разбираемо, това „изглежда много не на място в имейл за нарушение на сигурността, което се опита да забие домашната точка до„ Никога не кликнете върху „нулиране на парола“ заявки в имейлите - вместо това отидете директно към услугата “, каза Клули.
„Със сигурност бихте могли да разберете защо някой, изплашен от нарушаването на сигурността на Evernote, би бил алармиран да получи имейл с подобни връзки“, добави той.