Casa Securitywatch Evernote reimposta le password dopo che gli aggressori rubano i dati di accesso

Evernote reimposta le password dopo che gli aggressori rubano i dati di accesso

Video: Come rubare i dati di accesso di Libero Mail (Novembre 2024)

Video: Come rubare i dati di accesso di Libero Mail (Novembre 2024)
Anonim

L'organizzatore personale online Evernote ha reimpostato le password per tutti i suoi utenti dopo che gli aggressori hanno violato i sistemi dell'azienda e acceduto alle credenziali di accesso, ha dichiarato la società in un'e-mail ai clienti.

Il team di sicurezza di Evernote ha scoperto e bloccato "attività sospette sulla propria rete che sembra essere stato un tentativo coordinato di accedere ad aree sicure" del servizio Evernote, ha dichiarato la società in un post sul blog il 2 marzo. Mentre le indagini sono ancora in corso, il team trovato il database contenente nomi di utenti, indirizzi e-mail e password a cui gli aggressori hanno avuto accesso.

Evernote ha assicurato agli utenti che, sebbene le password fossero state esposte, il danno era limitato perché la società aveva utilizzato la "crittografia unidirezionale" (hash e salata) per proteggere i dati. Ciò significa che gli aggressori avrebbero difficoltà a decifrare le informazioni per rubare la password effettiva. La società ha anche affermato che non c'erano prove al momento dell'esposizione dei dettagli della carta di pagamento o del contenuto effettivo archiviato.

"Come precauzione per proteggere i tuoi dati, abbiamo deciso di implementare una reimpostazione della password", ha detto Evernote, osservando che la decisione riflette "un'abbondanza di cautela".

Evernote consente alle persone di creare elenchi, archiviare note e organizzare informazioni personali come videoclip, immagini, pagine Web e itinerari archiviati nel cloud. Si stima che la società con sede in California abbia 50 milioni di utenti.

Reimpostazione password e suggerimenti

Nell'e-mail ai clienti, Evernote afferma che agli utenti verrà richiesto di creare una nuova password dopo aver effettuato l'accesso con le proprie credenziali originali. "Dopo aver reimpostato la password su evernote.com, dovrai inserire questa nuova password nelle altre app Evernote che utilizzi", ha dichiarato l'e-mail, ad esempio sui dispositivi mobili. La società sta aggiornando alcune app per semplificare il processo di modifica della password.

La società ha incluso alcuni consigli pratici nella sua e-mail. Ha ricordato agli utenti di non utilizzare password semplici basate su parole trovate nel dizionario e di non utilizzare mai la stessa password su più siti o servizi.

"Come hanno dimostrato gli eventi recenti con altri grandi servizi, questo tipo di attività sta diventando più comune", ha detto Evernote.

Hai troppi servizi e non riesci a tenere traccia di password forti e uniche per ognuno? Neil Rubenking di PCMag ha esaminato diversi gestori di password, come 1Password e Editor's Choice LastPass 2.0.

Evernote ha inoltre ricordato agli utenti di non fare mai clic sui collegamenti "reimposta password" nelle e-mail. È difficile dire quando un messaggio di posta elettronica è una notifica di violazione legittima da parte dell'azienda e quando si tratta di un messaggio di phishing per rubare le tue informazioni. Se ritieni che vi sia una violazione, vai al sito e reimposta le password utilizzando il meccanismo delle password del sito. Non fare mai clic sul collegamento nell'e-mail.

Evernote ha fatto un errore, però. L'e-mail di Evernote, con l'oggetto "Avviso di sicurezza Evernote: reimpostazione password a livello di servizio", conteneva alcuni collegamenti incorporati a evernote.com. Tuttavia, se l'utente passa il mouse sopra il collegamento, evernote.com sembra indirizzare verso un dominio mkt5371.com, ha osservato Graham Cluley di Sophos sul blog di Naked Security. In questo caso, si è trattato di un errore di marketing, in quanto il dominio è di proprietà della società di comunicazioni e-mail Silverpop, che ha inviato l'e-mail per conto di Evernote.

Sebbene comprensibile, "sembra molto fuori posto in una e-mail su una violazione della sicurezza che ha cercato di rimandare a casa il punto" Non fare mai clic su richieste di "reimpostazione della password" nelle e-mail, invece vai direttamente al servizio ", ha affermato Cluley.

"Potresti certamente capire perché qualcuno impazzito dalla violazione della sicurezza di Evernote sarebbe preoccupato di ricevere un'e-mail con collegamenti del genere", ha aggiunto.

Evernote reimposta le password dopo che gli aggressori rubano i dati di accesso