Evernote bringt Software-Updates zur Sicherheitsbewältigung nach Hack-Angriffen

Nach dem Zurücksetzen der Passwörter von etwa 50 Millionen Benutzern hat Evernote laut einem Unternehmenssprecher Updates an alle seine Softwareprodukte gesendet.

"Wir haben aktualisierte Versionen unserer Anwendungen auf der ganzen Linie veröffentlicht … um Nachrichten hinzuzufügen, die Benutzer dazu auffordern, ihre Konten mit neuen, sicheren Passwörtern zu aktualisieren und diesen Vorgang zu vereinfachen ", sagte Ronda Scott von Evernote in einer E-Mail.

" Dies ist die einzige Änderung, die wir an die Evernote-Kunden vorgenommen haben Dieser Angriff ", fügte sie hinzu.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Von dem pauschalen Update betroffene Programme waren Evernote, Skitch, Vorletztes, Evernote Essen, Evernote Hallo, Evernote Wir b Clipper, Evernote Clearly und Evernote Peek.

Evernote hat Berichten zufolge am 28. Februar Hackeraktivitäten in seinem Netzwerk festgestellt, aber seine Benutzer erst am 2. März über die Sicherheitsverletzung informiert.

"Evernote Operations & Security Team hat verdächtige Aktivitäten im Evernote-Netzwerk entdeckt und blockiert, bei denen es sich anscheinend um einen koordinierten Versuch handelt, auf sichere Bereiche des Evernote-Dienstes zuzugreifen ", schrieb Dave Engberg von Evernote in einem Unternehmensblog, der auch als E-Mail an Benutzer gesendet wurde. Als Vorsichtsmaßnahme zum Schutz Ihrer Daten haben wir uns entschieden, ein Passwort-Reset durchzuführen ", fügte er hinzu.

Bisher hat Evernote keine Informationen darüber veröffentlicht, wer hinter dem Angriff steckt.

" Niemand hat die Verantwortung übernommen ", sagte Scott. "Unser internes Operations & Security-Team untersucht weiterhin die Details dieses Angriffs, einschließlich der Herkunft."

"Da dies noch nicht abgeschlossen ist, ist es für uns zu früh, um diese Details zu kommentieren", sagte sie. Sie gab jedoch bekannt, dass der Verstoß nicht auf eine Sicherheitslücke in einer der Anwendungen des Unternehmens zurückzuführen sei.

"Dieser Angriff kam nicht durch die Evernote-Anwendungen oder -Clients", sagte sie.

An dieser Stelle Es ist noch zu früh, um über Sicherheitsänderungen zu sprechen, die das Unternehmen als Reaktion auf die Verletzung implementiert.

"Da wir uns noch in der Analysephase befinden, können wir keine Kommentare zu zukünftigen Protokoll- oder Sicherheitsänderungen abgeben, fügte sie hinzu.

Neben der kontinuierlichen und aggressiven Überwachung seiner Systeme auf ungewöhnliche Aktivitätsmuster schützt Evernote Benutzernamen und Kennwörter mit einem Verschlüsselungsschema, das als "gesalzener Hash" bekannt ist > "Während das Hashing und Salzen von Passwörtern wirksam verhindern kann, dass Angreifer Ihr Passwort ausarbeiten, sollte ein Unternehmen, das diese Informationen speichert, nicht geschützt sein", schreibt Sicherheitsschreiber Brian Krebs.

"Evernote nicht Sagen Sie, welches Schema es w wie das Verwenden von Hash-Passwörtern, aber der Industriestandard ist ein ziemlich schwacher Ansatz, bei dem ein Großteil der Passwörter im Handumdrehen mit der heutigen Standardhardware geknackt werden kann ", fügte er hinzu.

Evernote-Benutzer Web-Benutzer sollten eigentlich starke Kennwörter erstellen und sie nicht von Site zu Site wiederverwenden. Das kann manuell mühsam sein, aber Programme wie OneID, KeePass und RoboForm nehmen den größten Teil des Aufwands aus dem Prozess.