Rumah Jam keamanan Evernote me-reset kata sandi setelah penyerang mencuri data login

Evernote me-reset kata sandi setelah penyerang mencuri data login

Video: Decrypt Evernote notes with Saferoom Desktop (Desember 2024)

Video: Decrypt Evernote notes with Saferoom Desktop (Desember 2024)
Anonim

Penyelenggara pribadi online, Evernote mengatur ulang kata sandi untuk semua penggunanya setelah penyerang melanggar sistem perusahaan dan mengakses kredensial masuk, kata perusahaan itu dalam email ke pelanggan.

Tim keamanan Evernote menemukan dan memblokir "aktivitas mencurigakan di jaringan mereka yang tampaknya merupakan upaya terkoordinasi untuk mengakses area aman" dari layanan Evernote, kata perusahaan itu dalam posting blog 2 Maret. Sementara penyelidikan masih berlangsung, tim menemukan database yang berisi nama pengguna, alamat email, dan kata sandi telah diakses oleh penyerang.

Evernote meyakinkan pengguna bahwa meskipun kata sandi telah diekspos, kerusakannya terbatas karena perusahaan telah menggunakan "enkripsi satu arah" (hash dan asin) untuk melindungi data. Ini berarti bahwa penyerang akan lebih sulit untuk memecahkan informasi untuk mencuri kata sandi yang sebenarnya. Perusahaan itu juga mengatakan tidak ada bukti pada saat itu bahwa detail kartu pembayaran atau konten tersimpan aktual telah dibuka.

"Sebagai tindakan pencegahan untuk melindungi data Anda, kami telah memutuskan untuk menerapkan pengaturan ulang kata sandi, " kata Evernote, mencatat keputusan tersebut mencerminkan "sangat berhati-hati."

Evernote memungkinkan orang membuat daftar, menyimpan catatan, dan mengatur informasi pribadi seperti klip video, gambar, halaman Web, dan rencana perjalanan yang tersimpan di cloud. Perusahaan yang berbasis di California ini diperkirakan memiliki 50 juta pengguna.

Reset dan Tip Kata Sandi

Dalam email ke pelanggan, Evernote mengatakan pengguna akan diminta untuk membuat kata sandi baru setelah mereka login dengan kredensial asli mereka. "Setelah Anda mengatur ulang kata sandi di evernote.com, Anda harus memasukkan kata sandi baru ini di aplikasi Evernote lain yang Anda gunakan, " kata email itu, seperti pada perangkat seluler. Perusahaan memperbarui beberapa aplikasi untuk menyederhanakan proses perubahan kata sandi.

Perusahaan memasukkan beberapa tips praktis dalam emailnya. Ini mengingatkan pengguna untuk tidak menggunakan kata sandi sederhana berdasarkan kata-kata yang ditemukan dalam kamus dan tidak pernah menggunakan kata sandi yang sama di beberapa situs atau layanan.

"Seperti yang ditunjukkan oleh acara baru-baru ini dengan layanan besar lainnya, jenis kegiatan ini menjadi lebih umum, " kata Evernote.

Punya terlalu banyak layanan dan tidak dapat melacak kata sandi yang kuat dan unik untuk masing-masingnya? Neil Rubenking dari PCMag telah melihat beberapa manajer kata sandi, seperti 1Password dan Editor's Choice LastPass 2.0.

Evernote juga mengingatkan pengguna untuk tidak mengklik tautan "setel ulang kata sandi" di email. Sulit untuk mengetahui kapan pesan email merupakan pemberitahuan pelanggaran yang sah dari perusahaan, dan kapan pesan phishing keluar untuk mencuri informasi Anda. Jika Anda merasa ada pelanggaran, buka situs dan setel ulang kata sandi menggunakan mekanisme kata sandi situs. Jangan pernah mengklik tautan di email.

Evernote memang melakukan satu kesalahan. Email Evernote, dengan baris subjek "Pemberitahuan Keamanan Evernote: Reset Kata Sandi selebar-lebar", berisi beberapa tautan tertanam ke evernote.com. Namun, jika pengguna mengarahkan tautan, evernote.com tampaknya mengarahkan ke domain mkt5371.com, kata Graham Cluley dari Sophos di blog Naked Security. Dalam hal ini, itu adalah kesalahan pemasaran, karena domain tersebut dimiliki oleh perusahaan komunikasi email Silverpop, yang mengirim email keluar atas nama Evernote.

Meskipun dapat dimengerti, itu "terlihat sangat tidak pada tempatnya di email tentang pelanggaran keamanan yang mencoba memalu titik intinya untuk 'Jangan mengklik permintaan' setel ulang kata sandi 'dalam email - alih-alih langsung ke layanan, '" kata Cluley.

"Anda tentu bisa mengerti mengapa seseorang yang ketakutan dengan pelanggaran keamanan Evernote akan terkejut menerima email dengan tautan seperti itu, " tambahnya.

Evernote me-reset kata sandi setelah penyerang mencuri data login