Video: Suomidigiaamu: Laki digitaalisten palveluiden tarjoamisesta 26.4.2019 (Marraskuu 2024)
Henkilökohtainen online-järjestäjä Evernote nollasi salasanat kaikille käyttäjilleen, kun hyökkääjät rikkoivat yrityksen järjestelmiä ja käyttivät kirjautumistietoja, yritys ilmoitti sähköpostiviestissä asiakkaille.
Evernote-turvallisuusryhmä löysi ja esti verkossaan epäilyttävän toiminnan, joka näyttää olevan koordinoitua yritystä päästä turvaamaan Evernote-palvelun suojattuja alueita, yritys sanoi blogi-julkaisussa 2. maaliskuuta. Tutkimuksen ollessa edelleen käynnissä, tiimi löysi tietokannan, joka sisältää käyttäjien nimet, sähköpostiosoitteet ja salasanat, joihin hyökkääjät olivat päässeet.
Evernote vakuutti käyttäjille, että vaikka salasanat oli paljastettu, vahingot olivat vähäisiä, koska yritys oli käyttänyt "yksisuuntaista salausta" (hajautettu ja suolattu) tietojen suojaamiseen. Tämä tarkoittaa, että hyökkääjillä olisi vaikeampi aika hakea tietoja varastaakseen todellinen salasana. Yrityksen mukaan myös tuolloin ei ollut näyttöä siitä, että maksukorttitiedot tai tallennettu sisältö olisi paljastettu.
"Varoituksena tietosi suojelemiseksi olemme päättäneet toteuttaa salasanan palauttamisen", Evernote totesi, että päätös heijasti "runsaasti varovaisuutta".
Evernote antaa ihmisille mahdollisuuden luoda luetteloita, tallentaa muistiinpanoja ja järjestää pilveen tallennettuja videoleikkeitä, kuvia, verkkosivuja ja reittejä. Kalifornialaisella yrityksellä on arviolta 50 miljoonaa käyttäjää.
Salasanan palautus ja vinkit
Asiakkaille osoitetussa sähköpostiviestissä Evernote sanoi, että käyttäjiä pyydetään luomaan uusi salasana, kun he ovat kirjautuneet sisään alkuperäisillä käyttöoikeustiedoillaan. "Kun olet asettanut salasanasi evernote.com-sivustossa, sinun on annettava tämä uusi salasana muihin käyttämiisi Evernote-sovelluksiin", sähköpostissa todettiin, kuten mobiililaitteissa. Yhtiö päivittää joitain sovelluksia salasananvaihtoprosessin yksinkertaistamiseksi.
Yhtiö lisäsi sähköpostiinsa joitain käytännöllisiä vinkkejä. Se muistutti käyttäjiä käyttämättä sanastossa löydettyihin sanoihin perustuvia yksinkertaisia salasanoja eikä koskaan käytä samaa salasanaa useilla sivustoilla tai palveluilla.
"Kuten viimeaikaiset tapahtumat suurten palveluiden kanssa ovat osoittaneet, tämäntyyppinen toiminta on yleistymässä", Evernote sanoi.
Onko sinulla liian monta palvelua etkä pysty seuraamaan vahvoja ja ainutlaatuisia salasanoja jokaiselle? PCMag: n Neil Rubenking on tarkastellut useita salasanan hallintaohjelmia, kuten 1Password ja Editor's Choice LastPass 2.0.
Evernote muistutti käyttäjiä myös koskaan napsauttamasta "palauta salasana" -linkkejä sähköposteissa. On vaikea sanoa, milloin sähköpostiviesti on yrityksen laillinen rikkomusilmoitus ja milloin tietokalastelusanoma varastaisi tietosi. Jos epäilet rikkomusta, mene sivustoon ja palauta salasanat sivuston salasanamekanismin avulla. Älä koskaan napsauta sähköpostissa olevaa linkkiä.
Evernote teki kuitenkin yhden virheen. Evernoten sähköpostiosoite otsikkorivillä "Evernote-tietoturvahuolto: Palvelun laajuinen salasanan palautus" sisälsi muutama upotettu linkki evernote.com-sivulle. Jos käyttäjä leijui linkin yli, evernote.com näytti kuitenkin johtavan mkt5371.com-verkkotunnukseen, totesi Graham Cluley Sophosista Naked Security -blogissa. Tässä tapauksessa se oli markkinointivirhe, koska verkkotunnuksen omistaa sähköpostiviestintäyritys Silverpop, joka lähetti sähköpostin Evernoten puolesta.
Vaikka se on ymmärrettävää, se "näyttää hyvin paikallaan sähköpostiviestissä tietoturvaloukkauksista, jotka yrittivät iskeä kotiin kohtaan" Älä koskaan napsauta "Palauta salasana" -pyyntöjä sähköpostissa - siirry sen sijaan suoraan palveluun ", " Cluley sanoi.
"Voisit varmasti ymmärtää, miksi joku Evernote-tietoturvaloukkauksen vuoksi pettyi hälytykseen saavansa sähköpostin, jossa on tällaisia linkkejä", hän lisäsi.
