Hackers verkrijgen toegang tot accountdata van Evernote-gebruikers
Evernote, een Amerikaans bedrijf dat cloud-based notitiesoftware levert, zegt slachtoffer te zijn van een gecoördineerde hackaanval. De aanvallers zouden toegang hebben gehad tot accountdata. Uit voorzorg dienen alle gebruikers een nieuw wachtwoord te kiezen.
Volgens Evernote, dat volgens schattingen circa 50 miljoen gebruikers heeft, zijn hackers erin geslaagd om toegang te krijgen tot onder andere gebruikersnamen, versleutelde wachtwoorden en e-mailadressen. Er zouden echter geen aanwijzingen zijn dat de aanvallers toegang hadden tot creditcardnummers van betalende gebruikers of opgeslagen informatie op de clouddienst.
Evernote meldt verder dat het security-team van het bedrijf heeft ingegrepen toen zij 'verdachte activiteiten' op hun netwerk ontdekte. De hackers zouden zich gericht hebben op beveiligde delen van het bedrijfsnetwerk. Ook zou de aanval gecöordineerd zijn uitgevoerd, al is onduidelijk wat hier precies mee wordt bedoeld.
Hoewel Evernote stelt dat de opgeslagen wachtwoorddata waartoe de hackers toegang hadden veilig is, vermoedelijk door middel van hashing, heeft het bedrijf besloten om uit voorzorg alle Evernote-gebruikers een nieuw wachtwoord te laten kiezen. Ook zal het bedrijf nieuwe versies van zijn mobiele apps uitbrengen om het wijzigen van het wachtwoord te vereenvoudigen. Verder stelt het Amerikaanse bedrijf dat er steeds vaker aanvallen op grote internetbedrijven worden uitgevoerd. Daarmee verwijst Evernote onder andere naar recente hackaanvallen op Facebook, Twitter, Apple en Microsoft.
Reacties (52)
Wel fijn om te lezen dat ze waarschijnlijk toch iets van Hashing gebruikten voor de opgeslagen wachtwoorden. Ik merkte toevallig net al dat ik me wachtwoord moest resetten toen ik op de webvariant inlogte. Maar goed nieuw wachtwoord aangemaakt met lastpass en gaan met die handel.
Ze pakken het in mijn optiek wel goed aan in tegen stelling tot sommige andere bedrijven.
Ze pakken het in mijn optiek wel goed aan in tegen stelling tot sommige andere bedrijven.
Dat is niet "fijn", dat is standaard. Of het zou standaard moeten zijn in ieder geval. Verder staat er nogal weinig info in dit artikel om een vergelijkend oordeel over de aanpak te kunnen vellen vind ik.
Er zijn nog een heleboel bedrijven die het toesturen van het wachtwoord als een service zien. Helaas hebben veel van die bedrijven het wachtwoord plaintext in de database staan en niet encrypted.
Management ziet vaak het wijzigen van een wachtwoord als klant onvriendelijk.
Developers en techneuten weten vaak wel hoe een en ander hoort, maar hoe hoger men de organisatie piramide beloopt, hoe minder men op dit soort informatie krijgt te horen en men ook vaak niet begrijpt waar alle commotie vandaan komt..
Zeker bij traditionele bedrijven zie je dit vaak.
Management ziet vaak het wijzigen van een wachtwoord als klant onvriendelijk.
Developers en techneuten weten vaak wel hoe een en ander hoort, maar hoe hoger men de organisatie piramide beloopt, hoe minder men op dit soort informatie krijgt te horen en men ook vaak niet begrijpt waar alle commotie vandaan komt..
Zeker bij traditionele bedrijven zie je dit vaak.
Eigenlijk zou het HTML paswoord veld dan ook alleen de gehashte waarde moeten outputten (gehashed met een standaard salt en natuurlijk de domeinnaam).
Anyway, je kunt ook "password hasher" (een firefox/chrome plugin) gebruiken om zelf je paswoorden te hashen
Anyway, je kunt ook "password hasher" (een firefox/chrome plugin) gebruiken om zelf je paswoorden te hashen
Wat je zegt is nogal onzin, plugin of niet je zal altijd nog je password in plaintext naar de server moeten sturen. Ook hashen in je browser heeft geen zin want dan moet je je salt publiek stellen.
bij Evernote zijn de wachtwoorden gehashed en salted opgeslagen. Dit zou inderdaad standaard moeten zijn, maar wordt jammer genoeg lang niet altijd toegepast.
Standaard? Het zou standaard moeten zijn ja, maar dat is het bij lange na niet hoor, je hoort genoeg de laatste maanden dat wachtwoorden zijn buitgemaakt die niet gehased of salted waren. Vandaar dus de "fijn" omdat het hier dus wel gebeurde.
Ik heb daarnet (even voor de publicatie van dit artikel) een heel nette mail gekregen van Evernote.
In de mail staat uitgelegd wat en hoe en waarom. Prima zo!
In de mail staat uitgelegd wat en hoe en waarom. Prima zo!
Niet zo prima. Ik gebruik praktisch alleen de mobiele app een ik heb geen mail gezien. En wellicht nieuwe standaard moet zijn dat mobiele apps dit soort acties (en nieuw wachtwoord) kunnen afdwingen. Zodra ik de app open. Facebook, dropbox, google, twitter zijn allemaal diensten die dit kan overkomen. En hun diensten zijn mobiel, oplossingen voor problemen moeten dat dan ook zijn.
Hoe weet je dat die mail van Evernote is? Hij is niet door hun verstuurd, althans niet volgens de details in de mail header..........
"This was just carelessness on Evernote's part. mkt5371 is a domain owned by Silverpop, an email communications firm who Evernote has clearly employed to send emails to its 50 million or so affected users."
http://nakedsecurity.soph.../evernote-reset-password/
http://nakedsecurity.soph.../evernote-reset-password/
Voordat ik dit nieuws gelezen had probeerde ik Evernote te gebruiken met het verzoek om mijn wachtwoord. Het wachtwoord was fout...
Op de site bleek waarom: ik moest bij het inloggen meteen een nieuw wachtwoord kiezen. Ik dacht dat mijn account gehackt was. Maar Evernote had besloten om alle gebruikers verplicht een nieuw wachtwoord aan te laten maken. Het is ze gelukt.
Op de site bleek waarom: ik moest bij het inloggen meteen een nieuw wachtwoord kiezen. Ik dacht dat mijn account gehackt was. Maar Evernote had besloten om alle gebruikers verplicht een nieuw wachtwoord aan te laten maken. Het is ze gelukt.
Staat er in de mails ook hoe Evernote de passwords hasht? Dat ze de passwords laten veranderen geeft aan dat mogelijk juist die lijst met logins en passwordhashes is buitgemaakt.
In de laatste C't staan een paar uitgebreide artikelen over passwords kraken, optimale hardware, password policies en zo. Erg verhelderend, maar ook ontluisterend.
Paar punten die ik jullie niet wil onthouden:
In de laatste C't staan een paar uitgebreide artikelen over passwords kraken, optimale hardware, password policies en zo. Erg verhelderend, maar ook ontluisterend.
Paar punten die ik jullie niet wil onthouden:
- Alleen hashen niet voldoende, een "salt" toevoegen is noodzakelijk. In het bericht op de site staat dat Evernote salted hashes gebruikt.
- MD5 en SHA1 zijn te snel te berekenen om nog veilig te zijn. Helaas vertellen ze niet welke hash ze gebruiken.
- Passwords van 8 tekens of minder, en passwords met woorden uit een woordenboek zijn te snel te kraken
- Het doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.
[Reactie gewijzigd door avdongen op zaterdag 2 maart 2013 21:35]
Dat niet alleen hoor. Het kan ook om de opgeslagen informatie gaan. Hoeveel % van de gebruikers gebruikt evernote bv om wachtwoord lijstjes op te slaanHet doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.
Een punt dat ik eigenlijk nooit hoor bij dergelijke hacks is dat de aanvallers mogelijk ook in staat zijn geweest om wachtwoorden te onderscheppen. Wellicht heeft de gehackte site onderzoek gedaan en is men daarna tot de conclusie gekomen dat dit niet het geval is maar er is ook een kans dat men domweg niet aan dit risico heeft gedacht.Paar punten die ik jullie niet wil onthouden:
Iemand die (admin) toegang tot de database gekregen kan waarschijnlijk ook wel de code van de site aanpassen of eigen software installeren om wachtwoorden te onderscheppen. Toegegeven, het is een stuk geavanceerder dan een kopietje van de database trekken en je achterhaalt er alleen wachtwoorden mee op het moment dat er iemand inlogt. Maar als het ze echt om de wachtwoorden te doen is zal het installeren van een trojan die wachtwoorden onderschept een logische optie zijn. Als de wachtwoord hash client site berekend wordt is dit in principe niet mogelijk tenzij je natuurlijk na een site hack de client site software aan weet te passen.
Kern van het verhaal is dat het gewoon wat kort door de bocht is om aan te nemen dat je wachtwoord nog veilig is als een site gehackt is. Zelfs als het aan alle regels van de wachtwoord kunst voldoet en de site alles op de juiste manier heeft gehashed. Bovendien volgt hieruit dat het gebruik van hetzelfde wachtwoord op meerdere sites gewoon niet echt veilig is.
Als mensen al "slim" genoeg zijn om te hashen, voegen ze gelukkig meestal ook wel een salt toe. Het is zeer makkelijk te programmeren (zit standaard in web-platforms) en hoort naar mijn mening ook standaard toegepast te worden.Alleen hashen niet voldoende, een "salt" toevoegen is noodzakelijk. In het bericht op de site staat dat Evernote salted hashes gebruikt.
MD5 wordt gelukkig al jaren nog zelden gebruikt voor dit soort toepassingen. Al is het zelfs vorig jaar nog mis gegaan met Microsoft-certificaten, die d.m.v. een "collision" aanval vervalst werden door de Flame-malware.MD5 en SHA1 zijn te snel te berekenen om nog veilig te zijn. Helaas vertellen ze niet welke hash ze gebruiken.
Dat is wel erg kort door de bocht. Als je 1 woord als wachtwoord neemt is dat dmv een "dictionary attack" idd zo gekraakt. Maar als je bijvoorbeeld 4 woorden neemt die geen verband met elkaar hebben, gaat die methode ook veel te lang duren. Met het voordeel dat het voor mensen juist relatief makkelijk te onthouden is. Zie ook http://xkcd.com/936/passwords met woorden uit een woordenboek zijn te snel te kraken
Toch is dat bij veel mensen het geval, om de simpele reden dat je tegenwoordig zoveel wachtwoorden hebt, dat het niet meer te doen is om 100+ "moeilijke" wachtwoorden te onthouden die het liefst zo min mogelijk verband met elkaar hebben.Het doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.
Ik hanteerde om die reden tot voor kort ook een slecht systeem voor mijn wachtwoorden (veel dezelfde wachtwoorden voor sites die ik minder boeiend vond, etc.), maar ik heb daar toch maar verandering in gebracht toen mijn Twitter account was gekraakt. En dan weet ik er nog relatief veel vanaf, ik kan me voorstellen dat veel mensen die niks met IT hebben nog veel slechtere wachtwoorden gebruiken (als het er al meerdere zijn, ipv 1 wachtwoord voor alles..)
Nu erg blij met LastPass, en willekeurige, zeer moeilijk te kraken wachtwoorden voor al mijn websites.
[Reactie gewijzigd door Hiub op dinsdag 5 maart 2013 12:31]
Want? China wordt door de VS beschuldigd, dus zitten ze achter elke hack? Sterk staaltje redeneren... Voor zover de beschuldigingen van de VS waar zijn en niet de zoveelste fud in de propoganda-oorlog tegen een zware concurrent. Ik hecht niet zoveel waarde aan die beschuldigingen. Het kán waar zijn, maar de VS hebben veel te veel belang bij het zwart maken van China. Ik geloof ze dus niet zo snel.
En daarbij: als het waar is zie ik het meer als pay-back. De VS bespioneren de rest van de wereld al 50 jaar (of langer) en proberen iedereen naar haar pijpen te laten dansen, dus een beetje terugspioneren kan geen kwaad.
En daarbij: als het waar is zie ik het meer als pay-back. De VS bespioneren de rest van de wereld al 50 jaar (of langer) en proberen iedereen naar haar pijpen te laten dansen, dus een beetje terugspioneren kan geen kwaad.
[Reactie gewijzigd door mphilipp op zaterdag 2 maart 2013 21:26]
En vergeet niet dat ze in Amerika ook hackers hebben bij de overheid, defensie, veiligheidsdiensten....
En de virussen voor de nucleaire installaties in Iran komen waarschijnlijk ook uit de hoek Amerika/Israel
En de virussen voor de nucleaire installaties in Iran komen waarschijnlijk ook uit de hoek Amerika/Israel
En nog steeds wilt Evernote niet de mogelijkheid bieden om notebooks individueel te laten voorzien van wachtwoord+encryptie.
Nee... je moet tekst selecteren en die gaan encrypten... lekker omslachtig.
Nee... je moet tekst selecteren en die gaan encrypten... lekker omslachtig.
Als je notebooks gaat encrypten, dan verlies je server-side functionaliteiten, zoals OCR op jpg-bestanden. Dit is ook de reden waarom Evernote terughoudend is om notebooks te encrypten. Jammer, want gevoelige informatie moet ik nu in een lokale notebook bewaren die ik apart moet backuppen en niet gesynct wordt tussen mijn apparaten.
Op het moment dat je een notebook wilt gaan encrypten, dan ben je wel bewust wat de nadelen zijn. Of tenminste, ze kunnen dat ook duidelijk vermelden. Net zoals je nu met local notebooks hebt.
Wat ik me hierdoor toch begin af te vragen: Stel, je wachtwoord werkt (om welke reden dan ook) niet meer, en je kunt 'm niet meer opvragen (bv. verlopen emailadres). Kun je dan nog wel je lokale notebook importeren onder een nieuw (ander) account?
Ik gebruik Evernote al jaren en heb er inmiddels vele honderden notes in staan. Omdat alles alleen lokaal staat (altijd 'ingelogd'), sta je er niet meer bij stil dat zonder het juiste wachtwoord ook de lokale applicatie niet meer werk (ja, er zijn wat (basale) exporteermogelijkheden).
En als je ook online gebruik maakt van de service, staan je notities dan versleuteld op hun servers?
Ik gebruik Evernote al jaren en heb er inmiddels vele honderden notes in staan. Omdat alles alleen lokaal staat (altijd 'ingelogd'), sta je er niet meer bij stil dat zonder het juiste wachtwoord ook de lokale applicatie niet meer werk (ja, er zijn wat (basale) exporteermogelijkheden).
En als je ook online gebruik maakt van de service, staan je notities dan versleuteld op hun servers?
Er worden command line tools geleverd bij de Evernote client software waarmee je backups kunt maken. Hiermee kun je bijvoorbeeld gescheduled je notities veilig stellen . Makkelijker is om gewoon een geldig email adres in je profiel in te vullen
Hopelijk valt het allemaal mee. Heb net wel mijn wachtwoord moeten resetten. Verder vind ik het wel een hele fijne dienst.
kwam die spamgolf dan niet hiervandaan terwijl er naar Dropbox gewezen werd?
Onderweg notities maken gaat natuurlijk erg moeilijk als al je data op een " off THE grid standalone machine" staat. Bijkomend nadeel, stel de locatie waar je bak staat brand af, weg is al je data.
Uiteraard moet je evernote niet gebruiken om je pincodes, gevoelige gegevens etc. te bewaren, maar voor notities etc. is het een ideale service.
Uiteraard moet je evernote niet gebruiken om je pincodes, gevoelige gegevens etc. te bewaren, maar voor notities etc. is het een ideale service.
Gewoon lokaal op een ipodje, pda of slimme telefoon zijn er prima notities te maken. Even zelf synchroniseren met de laptop en geen onbevoegde neust via welke cloud dan ook in je data. Als het om belangrijke data gaat zijn er USB sticks voor de digitale backup.
Daarnaast heb ik ook goede ervaringen met pen en papier onderweg.
Daarnaast heb ik ook goede ervaringen met pen en papier onderweg.
True, er gaat niets boven pen en papier, ik heb jarenlang een notitieboek met me meegesleept om al m'n brainfarts etc. in op te slaan.
Erg handig, behalve als je iets wil opzoeken. Helemaal als je, zoals je zegt, meerdere plaatsen hebt om je notities op te slaan (pda/ smartphone/ usb stick/ papier), dan vind je nooit meer wat terug.
Erg handig, behalve als je iets wil opzoeken. Helemaal als je, zoals je zegt, meerdere plaatsen hebt om je notities op te slaan (pda/ smartphone/ usb stick/ papier), dan vind je nooit meer wat terug.
Volgens mij begrijp je het concept van Evernote dan nog niet goed. Het heeft een client voor elk device. De data is erg klein en wordt continue gesyncd. Als je een nieuwe pc hebt, dan installeer je de client en staat binnen no-time je data er ook op.
Je telefoon heb je altijd bij je (of een ander device). Bij sommige meetings maak ik aantekeningen met de mac, bij executive meetings meestal met een iPad en bij andere meetings met een iPhone.
Alles synct meteen met elkaar. Ik heb ooit een meeting gehad waar de klant zei: het is mooi weer, we moesten eigenlijk buiten gaan zitten. Waarom niet? Ik had mijn aantekeningen in Evernote op de mac gemaakt en natuurlijk neem je je mac niet mee naar buiten. Bij de volgende aantekening kon ik gewoon verder werken op mijn telefoon. Alles was al gesyncd!
Ik schrijf als notities minimaal 300 A4-tjes per jaar. En dan geen proza, maar een soort steno. Bij papier zou ik minimaal 900 pagina's informatie moeten doorbladeren om iets te vinden. Met Evernote zoek ik op een keywoord en heb ik het binnen 1 seconde gevonden.
Als ik wat moet tekenen op een whiteboard of papier, maak ik er een foto van met de telefoon en plak ik die in Evernote. Zo heb ik alles bij elkaar.
Sinds 2003 gebruik ik al geen pen en papier meer en gebruikte voorheen Word voor mijn aantekeningen. Maar word syncen met iPad was zo'n gedoe en de iPad ging ook vol raken met alle aantekeningen. Evernote is klein qua formaat en dus superhandig.
Voor mij als consultant de nummer 1 tool.
Het enige wat het nadeel van Evernote zou kunnen zijn is dat het een public cloud is (en dus kan het gehackt worden). Ik hoop dat ze binnenkort bij ons op het werk met een private cloud oplossing komen. (VMware en Cisco hebben hier oplossingen voor).
Je telefoon heb je altijd bij je (of een ander device). Bij sommige meetings maak ik aantekeningen met de mac, bij executive meetings meestal met een iPad en bij andere meetings met een iPhone.
Alles synct meteen met elkaar. Ik heb ooit een meeting gehad waar de klant zei: het is mooi weer, we moesten eigenlijk buiten gaan zitten. Waarom niet? Ik had mijn aantekeningen in Evernote op de mac gemaakt en natuurlijk neem je je mac niet mee naar buiten. Bij de volgende aantekening kon ik gewoon verder werken op mijn telefoon. Alles was al gesyncd!
Ik schrijf als notities minimaal 300 A4-tjes per jaar. En dan geen proza, maar een soort steno. Bij papier zou ik minimaal 900 pagina's informatie moeten doorbladeren om iets te vinden. Met Evernote zoek ik op een keywoord en heb ik het binnen 1 seconde gevonden.
Als ik wat moet tekenen op een whiteboard of papier, maak ik er een foto van met de telefoon en plak ik die in Evernote. Zo heb ik alles bij elkaar.
Sinds 2003 gebruik ik al geen pen en papier meer en gebruikte voorheen Word voor mijn aantekeningen. Maar word syncen met iPad was zo'n gedoe en de iPad ging ook vol raken met alle aantekeningen. Evernote is klein qua formaat en dus superhandig.
Voor mij als consultant de nummer 1 tool.
Het enige wat het nadeel van Evernote zou kunnen zijn is dat het een public cloud is (en dus kan het gehackt worden). Ik hoop dat ze binnenkort bij ons op het werk met een private cloud oplossing komen. (VMware en Cisco hebben hier oplossingen voor).
Volgens mij begrijp je de strekking van m'n post nog niet helemaal, deze was juist pro-Evernote Ben zelf (ook) een tevreden gebruiker.
Ben zelf (ook) een tevreden gebruiker.Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
