Hackers verkrijgen toegang tot accountdata van Evernote-gebruikers

Evernote, een Amerikaans bedrijf dat cloud-based notitiesoftware levert, zegt slachtoffer te zijn van een gecoördineerde hackaanval. De aanvallers zouden toegang hebben gehad tot accountdata. Uit voorzorg dienen alle gebruikers een nieuw wachtwoord te kiezen.

Volgens Evernote, dat volgens schattingen circa 50 miljoen gebruikers heeft, zijn hackers erin geslaagd om toegang te krijgen tot onder andere gebruikersnamen, versleutelde wachtwoorden en e-mailadressen. Er zouden echter geen aanwijzingen zijn dat de aanvallers toegang hadden tot creditcardnummers van betalende gebruikers of opgeslagen informatie op de clouddienst.

Evernote meldt verder dat het security-team van het bedrijf heeft ingegrepen toen zij 'verdachte activiteiten' op hun netwerk ontdekte. De hackers zouden zich gericht hebben op beveiligde delen van het bedrijfsnetwerk. Ook zou de aanval gecöordineerd zijn uitgevoerd, al is onduidelijk wat hier precies mee wordt bedoeld.

Hoewel Evernote stelt dat de opgeslagen wachtwoorddata waartoe de hackers toegang hadden veilig is, vermoedelijk door middel van hashing, heeft het bedrijf besloten om uit voorzorg alle Evernote-gebruikers een nieuw wachtwoord te laten kiezen. Ook zal het bedrijf nieuwe versies van zijn mobiele apps uitbrengen om het wijzigen van het wachtwoord te vereenvoudigen. Verder stelt het Amerikaanse bedrijf dat er steeds vaker aanvallen op grote internetbedrijven worden uitgevoerd. Daarmee verwijst Evernote onder andere naar recente hackaanvallen op Facebook, Twitter, Apple en Microsoft.

IT-banen

Reacties (52)

aCCuReRaS 2 maart 2013 21:01

Ik heb daarnet (even voor de publicatie van dit artikel) een heel nette mail gekregen van Evernote.
In de mail staat uitgelegd wat en hoe en waarom. Prima zo!

MartinPTweak @aCCuReRaS • 3 maart 2013 22:05

Hoe weet je dat die mail van Evernote is? Hij is niet door hun verstuurd, althans niet volgens de details in de mail header..........

DeMaffias @MartinPTweak • 3 maart 2013 22:30

"This was just carelessness on Evernote's part. mkt5371 is a domain owned by Silverpop, an email communications firm who Evernote has clearly employed to send emails to its 50 million or so affected users."
http://nakedsecurity.soph.../evernote-reset-password/

brabbelaar @aCCuReRaS • 3 maart 2013 10:31

Niet zo prima. Ik gebruik praktisch alleen de mobiele app een ik heb geen mail gezien. En wellicht nieuwe standaard moet zijn dat mobiele apps dit soort acties (en nieuw wachtwoord) kunnen afdwingen. Zodra ik de app open. Facebook, dropbox, google, twitter zijn allemaal diensten die dit kan overkomen. En hun diensten zijn mobiel, oplossingen voor problemen moeten dat dan ook zijn.

avdongen

2 maart 2013 21:12

Staat er in de mails ook hoe Evernote de passwords hasht? Dat ze de passwords laten veranderen geeft aan dat mogelijk juist die lijst met logins en passwordhashes is buitgemaakt.

In de laatste C't staan een paar uitgebreide artikelen over passwords kraken, optimale hardware, password policies en zo. Erg verhelderend, maar ook ontluisterend.
Paar punten die ik jullie niet wil onthouden:

Alleen hashen niet voldoende, een "salt" toevoegen is noodzakelijk. In het bericht op de site staat dat Evernote salted hashes gebruikt. $_/-\o_$
MD5 en SHA1 zijn te snel te berekenen om nog veilig te zijn. Helaas vertellen ze niet welke hash ze gebruiken.
Passwords van 8 tekens of minder, en passwords met woorden uit een woordenboek zijn te snel te kraken
Het doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.

Edit: bevestiging salted hashes toegevoegd

[Reactie gewijzigd door avdongen op 24 juli 2024 20:55]

Bor Coördinator Frontpage Admins / FP Powermod @avdongen • 3 maart 2013 01:04

Het doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.

Dat niet alleen hoor. Het kan ook om de opgeslagen informatie gaan. Hoeveel % van de gebruikers gebruikt evernote bv om wachtwoord lijstjes op te slaan

Tribits @avdongen • 3 maart 2013 01:53

Paar punten die ik jullie niet wil onthouden:

Een punt dat ik eigenlijk nooit hoor bij dergelijke hacks is dat de aanvallers mogelijk ook in staat zijn geweest om wachtwoorden te onderscheppen. Wellicht heeft de gehackte site onderzoek gedaan en is men daarna tot de conclusie gekomen dat dit niet het geval is maar er is ook een kans dat men domweg niet aan dit risico heeft gedacht.

Iemand die (admin) toegang tot de database gekregen kan waarschijnlijk ook wel de code van de site aanpassen of eigen software installeren om wachtwoorden te onderscheppen. Toegegeven, het is een stuk geavanceerder dan een kopietje van de database trekken en je achterhaalt er alleen wachtwoorden mee op het moment dat er iemand inlogt. Maar als het ze echt om de wachtwoorden te doen is zal het installeren van een trojan die wachtwoorden onderschept een logische optie zijn. Als de wachtwoord hash client site berekend wordt is dit in principe niet mogelijk tenzij je natuurlijk na een site hack de client site software aan weet te passen.

Kern van het verhaal is dat het gewoon wat kort door de bocht is om aan te nemen dat je wachtwoord nog veilig is als een site gehackt is. Zelfs als het aan alle regels van de wachtwoord kunst voldoet en de site alles op de juiste manier heeft gehashed. Bovendien volgt hieruit dat het gebruik van hetzelfde wachtwoord op meerdere sites gewoon niet echt veilig is.

Hiub @avdongen • 5 maart 2013 12:27

Alleen hashen niet voldoende, een "salt" toevoegen is noodzakelijk. In het bericht op de site staat dat Evernote salted hashes gebruikt.

Als mensen al "slim" genoeg zijn om te hashen, voegen ze gelukkig meestal ook wel een salt toe. Het is zeer makkelijk te programmeren (zit standaard in web-platforms) en hoort naar mijn mening ook standaard toegepast te worden.

MD5 en SHA1 zijn te snel te berekenen om nog veilig te zijn. Helaas vertellen ze niet welke hash ze gebruiken.

MD5 wordt gelukkig al jaren nog zelden gebruikt voor dit soort toepassingen. Al is het zelfs vorig jaar nog mis gegaan met Microsoft-certificaten, die d.m.v. een "collision" aanval vervalst werden door de Flame-malware.

passwords met woorden uit een woordenboek zijn te snel te kraken

Dat is wel erg kort door de bocht. Als je 1 woord als wachtwoord neemt is dat dmv een "dictionary attack" idd zo gekraakt. Maar als je bijvoorbeeld 4 woorden neemt die geen verband met elkaar hebben, gaat die methode ook veel te lang duren. Met het voordeel dat het voor mensen juist relatief makkelijk te onthouden is. Zie ook http://xkcd.com/936/

Het doel van accountdata verzamelen op zoiets onschadelijks als evernote is om dezelfde passwords (en varianten!) te gebruiken om met dezelfde accountgegevens op andere systemen van bijvoorbeeld Google, Apple, Hotmail enz. in te loggen. Dus als je gerelateerde passwords gebruikt op een ander platform dan moet je je pas zorgen maken.

Toch is dat bij veel mensen het geval, om de simpele reden dat je tegenwoordig zoveel wachtwoorden hebt, dat het niet meer te doen is om 100+ "moeilijke" wachtwoorden te onthouden die het liefst zo min mogelijk verband met elkaar hebben.

Ik hanteerde om die reden tot voor kort ook een slecht systeem voor mijn wachtwoorden (veel dezelfde wachtwoorden voor sites die ik minder boeiend vond, etc.), maar ik heb daar toch maar verandering in gebracht toen mijn Twitter account was gekraakt. En dan weet ik er nog relatief veel vanaf, ik kan me voorstellen dat veel mensen die niks met IT hebben nog veel slechtere wachtwoorden gebruiken (als het er al meerdere zijn, ipv 1 wachtwoord voor alles..)

Nu erg blij met LastPass, en willekeurige, zeer moeilijk te kraken wachtwoorden voor al mijn websites.

[Reactie gewijzigd door Hiub op 24 juli 2024 20:55]

WeAreLegion 2 maart 2013 20:55

Wel fijn om te lezen dat ze waarschijnlijk toch iets van Hashing gebruikten voor de opgeslagen wachtwoorden. Ik merkte toevallig net al dat ik me wachtwoord moest resetten toen ik op de webvariant inlogte. Maar goed nieuw wachtwoord aangemaakt met lastpass en gaan met die handel.

Ze pakken het in mijn optiek wel goed aan in tegen stelling tot sommige andere bedrijven.

Ramon @WeAreLegion • 2 maart 2013 20:59

Dat is niet "fijn", dat is standaard. Of het zou standaard moeten zijn in ieder geval. Verder staat er nogal weinig info in dit artikel om een vergelijkend oordeel over de aanpak te kunnen vellen vind ik.

Niemand_Anders @Ramon • 2 maart 2013 21:11

Er zijn nog een heleboel bedrijven die het toesturen van het wachtwoord als een service zien. Helaas hebben veel van die bedrijven het wachtwoord plaintext in de database staan en niet encrypted.

Management ziet vaak het wijzigen van een wachtwoord als klant onvriendelijk.

Developers en techneuten weten vaak wel hoe een en ander hoort, maar hoe hoger men de organisatie piramide beloopt, hoe minder men op dit soort informatie krijgt te horen en men ook vaak niet begrijpt waar alle commotie vandaan komt..

Zeker bij traditionele bedrijven zie je dit vaak.

Verwijderd @Niemand_Anders • 3 maart 2013 11:12

Eigenlijk zou het HTML paswoord veld dan ook alleen de gehashte waarde moeten outputten (gehashed met een standaard salt en natuurlijk de domeinnaam).

Anyway, je kunt ook "password hasher" (een firefox/chrome plugin) gebruiken om zelf je paswoorden te hashen

Verwijderd @Verwijderd • 3 maart 2013 17:10

Wat je zegt is nogal onzin, plugin of niet je zal altijd nog je password in plaintext naar de server moeten sturen. Ook hashen in je browser heeft geen zin want dan moet je je salt publiek stellen.

JeroenTheStig @Ramon • 2 maart 2013 21:36

bij Evernote zijn de wachtwoorden gehashed en salted opgeslagen. Dit zou inderdaad standaard moeten zijn, maar wordt jammer genoeg lang niet altijd toegepast.

WeAreLegion @Ramon • 3 maart 2013 00:52

Standaard? Het zou standaard moeten zijn ja, maar dat is het bij lange na niet hoor, je hoort genoeg de laatste maanden dat wachtwoorden zijn buitgemaakt die niet gehased of salted waren. Vandaar dus de "fijn" omdat het hier dus wel gebeurde.

kmf 2 maart 2013 21:56

En nog steeds wilt Evernote niet de mogelijkheid bieden om notebooks individueel te laten voorzien van wachtwoord+encryptie.

Nee... je moet tekst selecteren en die gaan encrypten... lekker omslachtig.

JeroenTheStig @kmf • 2 maart 2013 22:29

Als je notebooks gaat encrypten, dan verlies je server-side functionaliteiten, zoals OCR op jpg-bestanden. Dit is ook de reden waarom Evernote terughoudend is om notebooks te encrypten. Jammer, want gevoelige informatie moet ik nu in een lokale notebook bewaren die ik apart moet backuppen en niet gesynct wordt tussen mijn apparaten.

kmf @JeroenTheStig • 2 maart 2013 23:16

Op het moment dat je een notebook wilt gaan encrypten, dan ben je wel bewust wat de nadelen zijn. Of tenminste, ze kunnen dat ook duidelijk vermelden. Net zoals je nu met local notebooks hebt.

Verwijderd 2 maart 2013 22:58

Wat ik me hierdoor toch begin af te vragen: Stel, je wachtwoord werkt (om welke reden dan ook) niet meer, en je kunt 'm niet meer opvragen (bv. verlopen emailadres). Kun je dan nog wel je lokale notebook importeren onder een nieuw (ander) account?
Ik gebruik Evernote al jaren en heb er inmiddels vele honderden notes in staan. Omdat alles alleen lokaal staat (altijd 'ingelogd'), sta je er niet meer bij stil dat zonder het juiste wachtwoord ook de lokale applicatie niet meer werk (ja, er zijn wat (basale) exporteermogelijkheden).
En als je ook online gebruik maakt van de service, staan je notities dan versleuteld op hun servers?

JeroenTheStig @Verwijderd • 3 maart 2013 00:18

Er worden command line tools geleverd bij de Evernote client software waarmee je backups kunt maken. Hiermee kun je bijvoorbeeld gescheduled je notities veilig stellen . Makkelijker is om gewoon een geldig email adres in je profiel in te vullen

darkdesign 2 maart 2013 22:58

Hopelijk valt het allemaal mee. Heb net wel mijn wachtwoord moeten resetten. Verder vind ik het wel een hele fijne dienst.

Tuglio 3 maart 2013 00:11

Als het zo doorgaat met al dat gehackte zooi kijken mensen straks niet eens meer raar op met een wachtwoordwijziging in de email, terwijl die juist dan nep is.

DeTeraarist 3 maart 2013 02:15

Mooie boel, ik heb geen email gehad. Naast de security is er daar nog wel meer aan verandering toe. Maar goed, ik heb m'n wachtwoord gewijzigd, maar ga voorlopig geen gebruik meer maken van Evernote, ze zorgen eerst maar dat ze alles op orde hebben zodat ze de volgende keer alle gebruikers informeren. Als ik het hier niet had gelezen dan had ik mooi van niets geweten.

backupdevice 3 maart 2013 07:56

Of je gebruikt mobile file managment oplossingen zoals mobilEcho en activEcho. Die gebruiken wij op de zaak, en alles van uit je eigen datacenter.

Tumb 3 maart 2013 08:53

Naar aanleiding van dit artikel maar even mijn wachtwoord veranderd.
Evernote heeft mij nog nier geïnformeerd over de hack,dit vind ik wel slordig.

Gelukkig ben ik enige tijd geleden lastpass gaan gebruiken, vrijwel alle wachtenwoorden zijn verschillend en mij onbekend.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (52)

Sorteer op:

Weergave: