Адрес для входа в РФ: exler.world

Evernote и безопасность

05.03.2013 10:04  9236   Комментарии (35)

Неприятная новость для пользователей Evernote.

Наши технический отдел и служба безопасности выявили и блокировали подозрительную активность в сети Evernote, которая была похожа на скоординированную попытку получить доступ к защищенным данным сервиса Evernote.

В качестве меры предосторожности для защиты ваших данных мы решили инициировать сброс пароля. Пожалуйста ознакомьтесь с подробностями и инструкциями ниже.

В ходе расследования мы не обнаружили никаких признаков того, что какая-либо информация в вашем аккаунте Evernote стала доступна третьим лицам, была изменена или удалена. Мы также не обнаружили никаких признаков того, что платежные данные пользователей Evernote Premium или Evernote Business стали доступны третьим лицам.

Вместе с тем расследование показало, что у неизвестных лиц была возможность получить доступ к пользовательским данным, включая имена пользователей и адреса электронной почты, к которым были привязаны аккаунты Evernote и зашифрованные пароли. Несмотря на то, что информация о паролях оказалась доступной, обратите внимание, что все хранящиеся в Evernote пароли защищены односторонним шифрованием (говоря техническим языком, они хешированы с солью).

То есть злоумышленники получили доступ к данным аккаунтов пользователей: именам пользователей, адресам электронной почты и паролям (зашифрованным). С одной стороны, вроде бы ничего страшного: злоумышленники не могли воспользоваться этими данными, чтобы получить доступ к содержимому аккаунтов (если только они не сумели расшифровать пароли, что представляется маловероятным). С другой стороны, получение злоумышленниками логинов и e-mail аккаунтов - уже само по себе явление очень неприятное: если взломать почтовый ящик, что со многими пользователями проделывается достаточно просто, учитывая их манеру использовать очень простые пароли, то можно получить полный доступ к аккаунту.

И это повод поговорить о том, что в Evernote есть серьезные проблемы с безопасностью. Причем доступ злоумышленников пользовательским данным - это только один аспект. Другие аспекты касаются существующих механизмов защиты данных пользователей в самой системе.

Что тут можно выделить?

1. Механизм восстановления пароля по e-mail воообще не имеет никакой защиты

То есть нет даже защиты по секретному вопросу - это делается почти везде, где заботятся о безопасности. Не говоря уж о варианте ввода пользователем запасного почтового ящика, чтобы можно было сбросить пароль при захвате основного ящика. Так что в данном случае, особенно когда злоумышленники знают логины и почтовые адреса, вероятность доступа к содержимому аккаунтов сильно увеличивается.

2. Практически нет защиты приложения Evernote под Windows

Залогинился - и все, приложение висит в системе со всеми данными. Для премиум-аккаунтов у мобильных приложений предусмотрена хотя бы защита по 4-значному цифровому коду - уже хоть что-то. Но для десктопного приложения и такой защиты нет. И это очень даже печально.

3. Нет никакого варианта серьезной защиты доступа к аккаунту

А ведь известных и достаточно надежных механизмов - полно. Как минимум - идентификация кодом, присылаемым по SMS. Это уже очень хорошая защита. Ее можно использовать хотя бы для первичного входа в аккаунт - логин на десктопе, логин на веб-приложении, логин на мобильном приложении. Ну и, например, для изменения пароля и e-mail. И все, в ваш аккаунт не войдут даже в том случае, если похитят логин-пароль.

4. Нет никакого механизма защиты изображений в пользовательских данных

Для премиум-аккаунтов доступно шифрование текстовых данных. Оно, конечно, защита довольно слабенькая, но уже хоть что-то. Однако изображения вы шифровать не можете. Причем объяснения разработчиков для меня звучали несколько странно. Они говорили, что картинки нельзя шифровать, потому что текст на них распознается системой - есть там такая удобная фича для индексирования ключевых слов. Но если я сам не хочу, чтобы какие-то картинки распознавались и наоборот - хочу, чтобы они шифровались, то почему не дать мне такую возможность? Хотя бы на премиум-аккаунте.

Так что тщательнее надо, дорогие разработчики Evernote, тщательнее. Оно, конечно, понятно, что Evernote и не создавался как система надежного и безопасного хранения конфиденциальных данных - предполагается, что там хранится просто всякая справочная информация (отсылаю к моей статье "Как и для чего я использую Evernote"), однако по факту многие пользователи там хранят действительно конфиденциальные данные: пароли, реквизиты пластиковых карт, фотографии пластиковых карт и так далее. И для таких пользователей все-таки нужно дать возможность более надежно защищать их данные.

05.03.2013 10:04
Комментарии 35

Ну все, писец. Теперь туда спам повалит, на ящик, который в Evernote указан.
05.03.13 22:16
0 0

Кстати, пин на карте писать очень удобно - порой на заправке сложно его вспомнить в режиме "быстро-быстро очередь бляхамуха".

Только пин нужно писать с лишними цифрами или со сдвигом в пару цифр.

Такой трюк даст повод мошеннику воспользоваться картой и спалить свою харю банкомату.
05.03.13 14:48
0 0

Называть хэширование с солью (Salted Hash) шифрованием - это признак полной и абсолютной технической безграмотности.

Уже это само по себе должно настораживать. В отличие от шифрования, с алгоритмами хэширования сейчас в криптографии серьезные проблемы. И считать пароли, хранящиеся в форме соленого хэша, надежно защищенными - это полнейшее безумие.
05.03.13 14:05
0 0

Doctor Notes:
Называть хэширование с солью (Salted Hash) шифрованием - это признак полной и абсолютной технической безграмотности.

Уже это само по себе должно настораживать. В отличие от шифрования, с алгоритмами хэширования сейчас в криптографии серьезные проблемы. И считать пароли, хранящиеся в форме соленого хэша, надежно защищенными - это полнейшее безумие.


Расскажите, пожалуйста, какие именно практически эксплуатируемые уязвимости имеются сейчас у, например, алгоритмов семейства SHA? 😄

Про полную и абсолютную безграмотность, кстати, тоже сильный перебор. Статья написана не для криптоаналитиков. Называть хэшированные пароли "зашифрованными" в популярной статье - вполне адекватно.
05.03.13 14:33
0 0

Doctor Notes :

Т.е. вы хотите сказать, что мой пароль в виде соленого хэша, кому то может пригодиться? Ну, ну...
05.03.13 14:41
0 0

Один раз попользовался Evernote, но мне он показался черезчур замороченым, так что пользуюсь GNotes, он прям в сервисы Гугла встроен, на компе все заметки видны в почте Гугл.
05.03.13 13:11
0 0

Угу.

А я вчера на заправке платил картой, заправщица провела ее через считыватель, а потом - "говорите код". То есть ПИН. Я немного офонарел - нет уж, давайте клавиатуру сюда, через окошко.

Обиделась. Похоже, многие говорят.
05.03.13 12:29
0 0

AshShor:
Угу.

А я вчера на заправке платил картой, заправщица провела ее через считыватель, а потом - "говорите код". То есть ПИН. Я немного офонарел - нет уж, давайте клавиатуру сюда, через окошко.

Обиделась. Похоже, многие говорят.


Живу в Черногории сейчас, тут местные действительно свой ПИН говорят продавцам 😄.
05.03.13 13:12
0 0

Хорошо, что в Evernote ничего секретного не храню, но напрягся, когда проблемы с идентификацией начались. Хорошо, хоть блокнот офлайн, да и на запрос быстро ответили, пароль поменял.

Но расстраивает, что почта привязана была моя гугловская основная, придется изучать двухэтапную идентификацию...
05.03.13 11:32
0 0

А вот секретные вопросы — сами про себе зло. Пригодны лишь для защиты от воровства большой кучи учёток, когда персонально никто не разбирается, а при персональном подходе чуть более, чем бесполезны. Но пользователям с ними один лишь гемор — ответ на него помнить…
05.03.13 11:11
0 0

Alex Exler: однако по факту многие пользователи там хранят действительно конфиденциальные данные: пароли, реквизиты пластиковых карт, фотографии пластиковых карт и так далее.

Считаю, что есть очевидная польза таких факапов известных сервисов! Это учит пользователей так не делать, и вообще внимательнее задумываться о том, что они отдают в "облака". 😄
05.03.13 10:42
0 0

sbat :

В "облаках" давно всё. Начиная от денег и заканчивая фотографией любимой кошки.
05.03.13 10:51
0 0

sbat: Считаю, что есть очевидная польза таких факапов известных сервисов! Это учит пользователей так не делать, и вообще внимательнее задумываться о том, что они отдают в "облака".

Думать? Да многие такого слова не знают!
Сейчас держу в руках корпоративную карту Привата... Кредитный лимит 50000 грн, пин-код написан маркером вместо подписи... Жесть.
05.03.13 11:10
0 0

предположу, что программы нужно использовать по назначению.
Если есть программы, которые специально предназначены для хранения конфиденциальной информации - нужно хранить в них.
Ведь хранение паролей в еверноут - чем не хранение паролей в файле ексель.
Вы пытаетесь удобством подменить качество.
На крайний случай пользуйтесь стеганографией.
Храните кучу фоток не своих кредитных карточек, внутри которых будут заложены ваши данные.
05.03.13 10:41
0 0

Alex Exler: Для премиум-аккаунтов доступно шифрование текстовых данных.

В обычном (бесплатном) варианте тоже можно шифровать текст в заметке как целиком, так и частями. Или мы о разном?
05.03.13 10:40
0 0

Peter Zabriski:
Alex Exler: Для премиум-аккаунтов доступно шифрование текстовых данных.

В обычном (бесплатном) варианте тоже можно шифровать текст в заметке как целиком, так и частями. Или мы о разном?


Нет, я об этом. Значит, сделмли и для обычного.
05.03.13 10:50
0 0

Нужно отметить, что за последний месяц они не одиноки:

- Twitter - могли быть уведены данные 250000 аккаунтов.

- Apple, Facebook , но их расследование показало, что данные не утекли

Все это "уводилось" через атаку на машины сотрудников.

Ну и из историй ушедшего года:

- Linked-in .

- Last fm .
05.03.13 10:37
0 0

Самое ценное в цепочке восстановления пароля по e-mail, это собственно e-mail. И вот его, конечно, нужно оберегать. Но тот же gmail повзоляет привязаться к телефону. Зачем мне кругом цеплять свой телефон?
05.03.13 10:30
0 0

Хороший факап.

Алекс, ты говорил у тебя там сканированная карточка переменных кодов лежит, да?
05.03.13 10:22
0 0

big.bon: Хороший факап.



Алекс, ты говорил у тебя там сканированная карточка переменных кодов лежит, да?

Она у меня вообще-то лежит запароленная в дропбоксе. Заходи, изучай.
05.03.13 10:49
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 443
видео 4000
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1581
попы 192
СМИ 2761
софт 930
США 132
шоу 6