공격자가 로그인 데이터를 훔친 후 Evernote가 비밀번호를 재설정합니다

온라인 개인 주최자 Evernote는 공격자가 회사 시스템을 위반하고 로그인 자격 증명에 액세스 한 후 모든 사용자의 암호를 재설정한다고 고객에게 이메일로 전했습니다.

에버 노트 보안 팀은 에버 노트 서비스의 "보안 영역에 접근하려는 조정 된 시도 인 것으로 보이는 의심스러운 네트워크 활동"을 발견하고 차단했다. 공격자가 사용자 이름, 전자 메일 주소 및 암호에 액세스 한 데이터베이스를 찾았습니다.

Evernote는 사용자가 암호가 노출되었지만 회사가 데이터를 보호하기 위해 "단방향 암호화"(해시 및 솔트)를 사용했기 때문에 피해가 제한적이라고 보증했습니다. 이는 공격자가 실제 암호를 도용하기 위해 정보를 해독하는 데 시간이 더 걸리는 것을 의미합니다. 회사는 또한 결제 카드 정보 나 실제 저장된 콘텐츠가 노출되었다는 증거는 없다고 말했다.

Evernote는 "데이터 보호를위한 예방책으로 비밀번호 재설정을 구현하기로 결정했다"면서 "이 결정은"주의가 풍부하다 "고 지적했다.

Evernote를 통해 사람들은 클라우드에 저장된 비디오 클립, 이미지, 웹 페이지 및 일정과 같은 목록을 작성하고 메모를 저장하며 개인 정보를 구성 할 수 있습니다. 캘리포니아에 본사를 둔 회사는 5 천만 명의 사용자가있는 것으로 추정됩니다.

비밀번호 재설정 및 팁

Evernote는 고객에게 보내는 이메일에서 원래 자격 증명으로 로그인 한 후 새 비밀번호를 만들라는 메시지가 표시 될 것이라고 말했다. "Evernote.com에서 비밀번호를 재설정 한 후에는 사용하는 다른 Evernote 앱에서이 새 비밀번호를 입력해야합니다."라는 이메일이 모바일 장치와 같이 전했습니다. 회사는 비밀번호 변경 프로세스를 단순화하기 위해 일부 앱을 업데이트하고 있습니다.

이 회사는 이메일에 실용적인 팁을 포함 시켰습니다. 사전에있는 단어를 기반으로 간단한 비밀번호를 사용하지 말고 여러 사이트 나 서비스에서 동일한 비밀번호를 사용하지 않도록 상기 시켰습니다.

에버 노트 부사장은“다른 대규모 서비스와 관련한 최근의 사건들에서이 유형의 활동이 점점 일반화되고있다.

서비스가 너무 많아서 각각에 대해 강력하고 고유 한 비밀번호를 추적 할 수 없습니까? PCMag의 Neil Rubenking은 1Password 및 Editor 's Choice LastPass 2.0과 같은 여러 암호 관리자를 살펴 보았습니다.

Evernote는 또한 이메일에서 "비밀번호 재설정"링크를 클릭하지 않도록 사용자에게 상기 시켰습니다. 전자 메일 메시지가 회사의 합법적 인 위반 알림인지, 정보를 도용하기 위해 피싱 메시지 인 경우를 말하기는 어렵습니다. 위반이 있다고 생각되면 사이트로 이동하여 사이트의 비밀번호 메커니즘을 사용하여 비밀번호를 재설정하십시오. 이메일의 링크를 클릭하지 마십시오.

그러나 Evernote는 한 가지 실수를 범했습니다. 제목이 "Evernote Security Notice: Serivce-wide Password Reset"인 Evernote의 이메일에는 evernote.com에 대한 링크가 포함되어 있습니다. 그러나 사용자가 링크를 가리키면 evernote.com이 mkt5371.com 도메인으로 연결되는 것처럼 보였습니다. Naked Security 블로그에서 Sophos의 Graham Cluley는 말합니다. 이 경우 도메인은 이메일 커뮤니케이션 회사 인 Silverpop이 소유하고 있기 때문에 마케팅 실수였으며, Evernote를 대신하여 이메일을 발송했습니다.

Cluley는 이해하기는했지만 "이메일로 '비밀번호 재설정'요청을 클릭하지 말고 서비스로 직접 이동하십시오."

"에버 노트 보안 위반으로 인해 누군가가 왜 그런 링크가 포함 된 이메일을 받도록 놀라게되는지 이해할 수있을 것입니다."