2013年3月7日星期四

Evernote遭黑客攻击用户信息泄漏


全球知名的笔记软件Evernote宣布,该软件日前遭到了黑客的攻击,用户名、用户邮箱地址以及加密后的密码都被黑客窃取。目前Evernote用户一登录国际版Evernote网站,即被要求强制修改密码。不过,Evernote表示,Evernote专业版和 Evernote Business的支付信息资料并没有外泄。
  中国版的印象笔记也通过微博发布声明称,国内的印象笔记用户不受此次影响,受到黑客影响的是国际版Evernote用户。
  虽然Evernote被黑客攻击影响比较恶劣,但对比以前国内CSDN泄密门事件看,Evernote有几点还是值得肯定的:1、泄密之后很短的时间就能发现,而且发布公告并重置密码,国内的几年前就被黑,且封锁消息。2、泄密的密码是加密的密码,而不是明文。
  笔者建议 Evernote (印象笔记)支持一下 Google 两步验证(Google Authenticator),这个密码系统是开源的动态密码(Dynamic Password),提供接口可供调用,这样用户把自己的帐号和手机动态密码绑定,用户使用静态密码登录后,还需要验证一次性动态密码,只要手机不丢的话,黑客就无法访问用户Evernote上的内容。Dropbox就已经支持了 Google Authenticator 两步验证。
  以下是Evernote的官方博客通知全文:
Evernote遭黑客攻击用户信息泄漏
  帐户安全重要通告: 重置Evernote International服务密码
  亲爱的Evernote International用户,
  Evernote运营和安全团队最近发现并成功阻止了一项针对Evernote网络的可疑活动,该活动可能试图有组织的接入Evernote服务的安全区域。
  为了预防未来的潜在数据隐患,我们决定请求所有用户进行一次密码重置。请阅读以下内容了解详情和步骤。
  [请注意在中国独立运营的印象笔记用户并没有受到此次可疑活动影响,所以无需进行任何操作。判断你是印象笔记用户还是Evernote International用户,请登陆任何手机,平板和电脑平台的Evernote服务,检查“帐户信息”下的Evernote电子邮箱地址是以m.yinxiang.com结尾还是m.evernote.com结尾:前者是印象笔记用户,后者是Evernote International用户]
  通过一次全面仔细的检查,我们未发现任何迹象表明你保存在Evernote中的任何内容被访问过、修改过或丢失。Evernote高级帐户的付款信息和Evernote企业帐户也没有任何被访问过的迹象。
  但是检查显示,参与这次可疑活动的人员能够访问到Evernote的用户信息,包括与Evernote帐户关联的用户名、邮箱地址和加密过后的密码密文。尽管密码密文有可能被访问,但请特别注意,保存在Evernote中的所有帐户密码密文均采用不可逆的单向加密算法(one-way encryption)生成。(用专业术语表示,即所有密码密文都是经过哈希算法处理并随机生成(hashed and salted) )
  尽管我们强大的加密方法非常安全,但为一直确保你的数据安全,我们总是希望多做一步预防措施 。所以慎重起见,我们现在请求所有用户重新设置帐户密码。请在Evernote.com上登录你的帐户,并创建新密码。
  登录后,你会收到提示,要求输入新密码。在Evernote.com上重新设置密码后,需要你在所使用的其他平台Evernote应用中输入同样的新密码。
  最近,其他大型服务商发生的类似事件表明,此类网络活动越来越普遍。Evernote一直以高度保护你的数据安全为己任,并不断地加强服务器架构设计和提高安全等级,确保Evernote和你的内容的安全性。
  你还可以采取以下几个重要措施,确保自己在包括Evernote在内的任何网站上的数据安全:
  • 避免使用过于简单的密码,比如字典中的现成词汇
  • 务必不要在多个网站和服务上使用同一个密码
  • 务必不要在邮件中点击“重设密码”,如果要修改密码,请直接登录该服务的网站
  非常感谢你的时间。对于请求你修改帐户密码及由此带来的不便,我们深表歉意。但最后我们想说,我们相信只需采取简单的一步,就能够为你带来更加安全的Evernote体验。如有任何问题,请随时联系我们的用户支持团队。

没有评论:

发表评论