Evernote รีเซ็ตรหัสผ่านหลังจากผู้โจมตีขโมยข้อมูลเข้าสู่ระบบ

ผู้จัดงานส่วนบุคคลออนไลน์ Evernote รีเซ็ตรหัสผ่านสำหรับผู้ใช้ทุกคนหลังจากที่ผู้โจมตีละเมิดระบบของ บริษัท และเข้าถึงข้อมูลรับรองการเข้าสู่ระบบ บริษัท กล่าวในอีเมลถึงลูกค้า

ทีมรักษาความปลอดภัย Evernote ค้นพบและบล็อก "กิจกรรมที่น่าสงสัยในเครือข่ายของพวกเขาซึ่งดูเหมือนจะเป็นความพยายามประสานงานในการเข้าถึงพื้นที่ปลอดภัย" ของบริการ Evernote บริษัท ดังกล่าวในโพสต์บล็อกเมื่อวันที่ 2 มีนาคมขณะที่การสอบสวนยังดำเนินอยู่ พบว่าฐานข้อมูลที่มีชื่อผู้ใช้ที่อยู่อีเมลและรหัสผ่านถูกเข้าถึงโดยผู้โจมตี

Evernote รับรองผู้ใช้ว่าแม้รหัสผ่านจะถูกเปิดเผย แต่ความเสียหายก็มี จำกัด เนื่องจาก บริษัท ใช้ "การเข้ารหัสแบบทางเดียว" (แฮชและเค็ม) เพื่อปกป้องข้อมูล ซึ่งหมายความว่าผู้โจมตีจะมีเวลามากขึ้นในการถอดรหัสข้อมูลเพื่อขโมยรหัสผ่านจริง บริษัท ยังกล่าวว่าไม่มีหลักฐานในเวลาที่รายละเอียดบัตรชำระเงินหรือเนื้อหาที่จัดเก็บจริงได้รับการเปิดเผย

"เพื่อเป็นการป้องกันข้อมูลของคุณเราได้ตัดสินใจใช้การรีเซ็ตรหัสผ่าน" Evernote กล่าวโดยการสังเกตว่าการตัดสินใจสะท้อนให้เห็นถึง "ข้อควรระวังมากมาย"

Evernote ช่วยให้ผู้ใช้สร้างรายการจัดเก็บบันทึกย่อและจัดระเบียบข้อมูลส่วนบุคคลเช่นวิดีโอคลิปรูปภาพเว็บเพจและกำหนดการเดินทางที่จัดเก็บในคลาวด์ บริษัท ในแคลิฟอร์เนียคาดว่าจะมีผู้ใช้ 50 ล้านคน

รีเซ็ตรหัสผ่านและเคล็ดลับ

ในอีเมลถึงลูกค้า Evernote กล่าวว่าผู้ใช้จะได้รับแจ้งให้สร้างรหัสผ่านใหม่หลังจากลงชื่อเข้าใช้ด้วยข้อมูลประจำตัวดั้งเดิมของพวกเขา "เมื่อคุณรีเซ็ตรหัสผ่านบน evernote.com คุณจะต้องป้อนรหัสผ่านใหม่นี้ในแอพ Evernote อื่น ๆ ที่คุณใช้" อีเมลดังกล่าวเช่นบนอุปกรณ์มือถือ บริษัท กำลังปรับปรุงบางแอพเพื่อให้กระบวนการเปลี่ยนรหัสผ่านง่ายขึ้น

บริษัท รวมเคล็ดลับการปฏิบัติในอีเมลของ มันเตือนผู้ใช้ไม่ให้ใช้รหัสผ่านง่าย ๆ ตามคำที่พบในพจนานุกรมและไม่เคยใช้รหัสผ่านเดียวกันในหลาย ๆ เว็บไซต์หรือบริการ

"เมื่อกิจกรรมล่าสุดที่มีบริการขนาดใหญ่อื่น ๆ ได้แสดงให้เห็นแล้วกิจกรรมประเภทนี้กำลังเป็นที่นิยมมากขึ้น" Evernote กล่าว

มีบริการมากเกินไปและไม่สามารถติดตามรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับแต่ละรายการได้หรือไม่ Neil Rubenking ของ PCMag ได้ดูตัวจัดการรหัสผ่านหลายตัวเช่น 1Password และ Editor's Choice LastPass 2.0

Evernote ยังเตือนผู้ใช้ว่าอย่าคลิกลิงก์ "รีเซ็ตรหัสผ่าน" ในอีเมล เป็นการยากที่จะบอกว่าเมื่อใดที่ข้อความอีเมลเป็นการแจ้งเตือนการละเมิดที่ถูกต้องจาก บริษัท และเมื่อใดที่มีการส่งข้อความหลอกลวงเพื่อขโมยข้อมูลของคุณ หากคุณคิดว่ามีการละเมิดให้ไปที่ไซต์และรีเซ็ตรหัสผ่านโดยใช้กลไกรหัสผ่านของเว็บไซต์ อย่าคลิกลิงก์ในอีเมลเลย

Evernote ทำผิดพลาดครั้งเดียว อีเมลของ Evernote ที่มีหัวเรื่อง "การแจ้งเตือนด้านความปลอดภัยของ Evernote: การรีเซ็ตรหัสผ่านแบบ Serivce" มีลิงค์ฝังตัวอยู่สองสามรายการที่ evernote.com อย่างไรก็ตามหากผู้ใช้วางลิงก์ไว้ Evernote.com ดูเหมือนจะนำไปสู่โดเมน mkt5371.com โดย Graham Cluley of Sophos ตั้งข้อสังเกตไว้ในบล็อก Naked Security ในกรณีนี้มันเป็นความผิดพลาดทางการตลาดเนื่องจากโดเมนเป็นเจ้าของโดย บริษัท สื่อสารทางอีเมล Silverpop ผู้ส่งอีเมลออกในนามของ Evernote

ในขณะที่สามารถเข้าใจได้มัน "ดูออกนอกสถานที่มากในอีเมลเกี่ยวกับการละเมิดความปลอดภัยซึ่งพยายามตอกกลับบ้านให้ชี้ไปที่คำขอ 'ไม่คลิกที่' รีเซ็ตรหัสผ่าน 'ในอีเมล - แทนที่จะไปที่บริการโดยตรง" Cluley กล่าว

"คุณสามารถเข้าใจได้อย่างชัดเจนว่าเหตุใดบางคนที่ถูกละเมิดความปลอดภัยของ Evernote จะตื่นตระหนกเพื่อรับอีเมลพร้อมลิงก์เช่นนั้น" เขากล่าวเสริม