Пользователь
0,0
рейтинг
3 марта 2013 в 00:05

Разработка → Evernote вероятно был взломан

По информации из официального блога Evernote, взломщикам вероятно удалось получить доступ к некоторым данным пользователей:
Вместе с тем расследование показало, что у неизвестных лиц была возможность получить доступ к пользовательским данным, включая имена пользователей и адреса электронной почты, к которым были привязаны аккаунты Evernote и зашифрованные пароли. Несмотря на то, что информация о паролях оказалась доступной, обратите внимание, что все хранящиеся в Evernote пароли защищены односторонним шифрованием (говоря техническим языком, они хешированы с солью).
На данный момент, разработчики принудительно инициировали процедуру сброса паролей, поэтому не удивляйтесь, если ваш клиент просит ввести пароль.
Фёдор @FFF
карма
57,9
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (36)

  • +4
    Начал эту новость писать, но бросил, так как начал разбираться в ситуации.
    Во-первых, письма (как они пишут) не было. Но при входе да, запросилась смена пароля.
    Во-вторых, очень странно, по поводу доступа к данным (заметки). Пишут, что получено не было, но очевидно, если был получен доступ к данным аккаунтов, то скорее всего и был доступ к заметкам (хотя, все же, может быть ситуация, что доступа и не было). Пламенный привет тем, кто хранит пароли в заметках evernote.
    В-третьих, решил посмотреть, что они используют для блога. Оказался Wordpress. Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).

    Неприятная ситуация. Хорошо, что хоть пароли с солью захэшированы. Еще один плюс к тому, что для каждого сервиса иметь свой пароль (прошлый год уже отличился LinkedIN, Gamigo, Adobe, Blizzard, eHarmony, Geissens, NVidia, Stratfor и Project Whitefo)
    • 0
      Вроде как при первом запуске клиента (на OS X по крайней мере) крайне советуется заметки с паролями шифровать дополнительно. В окошке этого самого шифрования, уверяется, что пароль шифрования заметки нигде более не хранится: d.pr/i/rdmP
    • +2
      Я тоже письма не получил и минут пять пытался понять, чего это клиент не может синхронизироваться и просит пароль. На счёт заметок — они могут лежать в совсем отдельном от профилей месте и не факт, что до них смогли добраться, если же добрались, то они тоже, конечно же, зашифрованы. Хотя пароли хранить в evernote всё равно плохая идея.

      В любом случае, ситуация очень неприятная, как минимум у взломщиков в руках оказалась не слабая такая спам-база.
    • +3
      Хранить что-то ценное (настолько ценное, что стоимость потери выше, чем польза от удобства) в облаке плохо.
      • 0
        Почему плохо?
        Надо просто бэкапы делать.
        Некоторые люди почему-то считают, что не нужно иметь резервные копии того, что находится в облаке.
        • 0
          А как бэкапы спасут от утечки приватных данных?
          • +1
            Пусть утекают. Мне лично пофигу.
            Кому нужны мои криптоконтейнеры?
            • 0
              Если речь идёт о файловых хранилищах, тогда да, но далеко не во всех облачных сервисах идеологически возможно шифрование данных на стороне клиента, а что там происходит на сервере зачастую известно только разработчикам.
              • 0
                Что-то важное я храню только в зашифрованом виде. Эверноут у меня например только что-то заинтересовавшее сфоткать, рецептик сохранить. Единственное облако где есть моя действительно важная информация — gmail. Точнее гуглоконтакты.
                • +1
                  Вы молодец. Но у evernote несколько десятков миллионов пользователей, многие из которых не такие предусмотрительные, к сожалению. Я уж не говорю о том, что утекла email база, что не критично, но весьма не приятно и от этого никакие криптоконтейнеры не спасут.
    • +1
      Evernote не использую (поигрался немного давно), но письмо было (в 22:58 от team@email.evernote.com).
      >Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).
      Вы действительно думаете, что блог и сервер с БД располагают на одном сервере? blog.evernote.com и evernote.com как минимум на разных адресах (не будем рассматривать случай, что это 2 ip одного сервера).
    • 0
      Едва ли это блог. Evernote в состоянии выделить отдельную машину под блог. А учитывая, что блог связан более с маркетингом, чем с предоставлением услуг, вероятно, занимается им отдельные люди.
  • +1
    Даешь двухфакторную авторизацию через телефон!
    • +1
      Тоже не панацея, но поддерживаю — многие в evernote держат важные и приватные данные, грамотно реализованная двухфакторная аутентификация существенно уменьшила бы риски.
  • +6
    • 0
      blog.evernote.com/ru/?s=%3Cimg%20src=%22about:blank%22%20onerror=prompt(1)%3E

      Refused to execute a JavaScript script. Source code of script found within request.

      Как всё таки радует Хром в таких моментах.
      • 0
        Ну, это обходится :)
        Не уверен правда, что стоит сливать вектор обхода XSS-auditor хрома в паблик)
        • 0
          Кстати такая же защита в IE10 оказывается, а Fx Nightly не балует нас таким…
          • +1
            Если будет время, напишу пост, про «быстрый» фикс от XSS и даже кое-что в Хроме покажу ;)
    • +1
      Даже так
  • +1
    Не уверен что варианты взлома озвученные выше вообще подходят.
    Неужели вы думаете что такая контора держит «морду» и форум рядом с базой пользователей?
    • +1
      Всякое бывает. Даже если нет, но блог был взломан — то это уже «отличный» вектор развития событий ) Возможно, доступ во внутреннюю суть, хэшированные пароли админов (и почты к ним же).
  • –2


    Я вот никак не могу понять, зачем использовать сторонние плагины, если, зачастую, они и подрывают всю безопасность?

    • +2
      Картинка бесполезная — мелкая и ниче не видно
  • +2
    На данный момент, разработчики принудительно инициировали процедуру сброса паролей, поэтому не удивляйтесь, если ваш клиент просит ввести пароль.
    Я вот этому не удивляюсь, т.к. перестал пользоваться Evernote из-за того, что приходилось вводить пароль каждую неделю. Не помню ни один аналогичный сервис, который бы так докучал этим. Ну сделайте же наконец галочку «Запомнить на год», пусть даже рядом будет ещё одна "(на свой страх и риск)", я пожалуй рискнул бы, поставил бы её, и стал бы снова пользоваться Evernote. А то получается, что это безопасность ради безопасности, а не для удобства пользователей, и всё равно её почему-то не хватило.
    • +2
      пользуюсь более года, пароль в клиентах (iOS, OS X, Windows) вводил не больше 5 раз, вы о чем?
      • 0
        Вероятно, речь о веб-интерфейсе. Там есть галочка «Запомнить на неделю».
      • +1
        Я имел ввиду веб-клиент, не пользуюсь им уже больше года, сегодня посмотрел, ничего не изменилось за это время, хотя письмо в техподдержку писал. Даже хуже стало, заставили сменить пароль, пришлось менять два раза, на новый, и старый, который мне браузерный плагин подставляет.
  • 0
    За сегодня evernote предложили сбросить/обновить пароль, сейчас в винде попросили установить новую версию приложения.
    в андроид-гуглплэй еще не заходил… скорее всего, там тоже будет обновление.
    • 0
      Там есть обновление, при этом, судя по комментариям, в приложении тоже заставляют менять пароль тех, кто этого не сделал. При этом в описании обновления этого не упомянули, что и вызвало некоторое недовольство пользователей, которые не в теме.
  • +16
    Они ведь могли узнать рецепты моей жены.
    • +2
      Охх, с такой информацией и до массовой химической атаки недалеко, мы все очень рисковали…
    • 0
      А вдруг они рецепты поменяли? Так и борщом травануться можно :)
  • 0
    Есть такой сервис encipher.it — позволяет шифровать текст в любом сервисе. Принцип работы простой, делается клик на букмарк, вводится ключ и в результате текст заменяется на шифрованный. Расшифровка делается аналогично. Может кому-нибудь пригодится.
  • +1
    У меня вообще все это странно выглядело. Попробовал зайти на сайт — не пустило. Ну, думаю, взломали. Давай менять пароль. Сменил, зашел. Вышел, а потом опять войти не могу. Опять восстаналиваю. И так раза три. Полез искать логи входов в аккаунт — ничего подобного этот хваленый сервис не предоставляет. Полез искать мыло суппорта — тоже нет. Предлагается создавать публичные тикеты. Ну ладно, отписался там (кстати, тоже не пускало залогиниться, пришлось левый акк регить для системы тикетов). Поддержка сказала, что у вас проблем сейчас никаких нет — юзайте дальше, а логи мы не предоставляем. Вокруг тишина. Думаю, у меня одного такая проблема.

    Потом через некоторое время посыпались на почту увадомления, дескать, мое обсуждение объединено со 100500 похожих тикетов. И только потом появилась запись в блоге. А обещанного письма я, как и многие, не получил.

    Репутация Evernote сильно подмочена в моих глазах. В частности, из-за ничего не ведающей поддержки, отсутствия логов — будто это так сложно сделать, хотя доступ оффлайн в мобильных приложениях из той же оперы, видимо: плати — будет. Премиум не рассматриваю, т.к. не считаю приложение настолько полезным и незаменимым, чтобы за него платить. Ищу замену.
  • 0
    KEEP CALM and JUST TRUST in CLOUD SECURITY

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.