Video: Pavel Shcherbakov (Tháng mười một 2024)
Nhà tổ chức cá nhân trực tuyến Evernote đặt lại mật khẩu cho tất cả người dùng sau khi kẻ tấn công vi phạm hệ thống của công ty và truy cập thông tin đăng nhập, công ty cho biết trong email gửi cho khách hàng.
Nhóm bảo mật Evernote đã phát hiện và chặn "hoạt động đáng ngờ trên mạng của họ dường như là một nỗ lực phối hợp để truy cập các khu vực an toàn" của dịch vụ Evernote, công ty cho biết trong một bài đăng trên blog vào ngày 2 tháng 3. Trong khi cuộc điều tra vẫn đang diễn ra, nhóm vẫn đang tiếp tục. tìm thấy cơ sở dữ liệu chứa tên người dùng, địa chỉ email và mật khẩu đã bị kẻ tấn công truy cập.
Evernote đảm bảo với người dùng rằng mặc dù mật khẩu đã bị lộ, nhưng thiệt hại đã được hạn chế do công ty đã sử dụng "mã hóa một chiều" (băm và muối) để bảo vệ dữ liệu. Điều này có nghĩa là những kẻ tấn công sẽ gặp khó khăn hơn trong việc bẻ khóa thông tin để đánh cắp mật khẩu thực tế. Công ty cũng cho biết không có bằng chứng tại thời điểm chi tiết thẻ thanh toán hoặc nội dung được lưu trữ thực tế đã bị lộ.
"Để phòng ngừa dữ liệu của bạn, chúng tôi đã quyết định thực hiện đặt lại mật khẩu", Evernote cho biết, lưu ý rằng quyết định này phản ánh "sự thận trọng dồi dào".
Evernote cho phép mọi người lập danh sách, lưu trữ ghi chú và sắp xếp thông tin cá nhân như video clip, hình ảnh, trang Web và hành trình được lưu trữ trên đám mây. Công ty có trụ sở tại California này ước tính có 50 triệu người dùng.
Đặt lại mật khẩu và Mẹo
Trong email gửi cho khách hàng, Evernote cho biết người dùng sẽ được nhắc tạo mật khẩu mới sau khi họ đăng nhập bằng thông tin gốc. "Một khi bạn đã đặt lại mật khẩu của mình trên evernote.com, bạn sẽ cần nhập mật khẩu mới này vào các ứng dụng Evernote khác mà bạn sử dụng", email cho biết, chẳng hạn như trên thiết bị di động. Công ty đang cập nhật một số ứng dụng để đơn giản hóa quá trình thay đổi mật khẩu.
Công ty bao gồm một số lời khuyên thiết thực trong email của mình. Nó nhắc nhở người dùng không sử dụng mật khẩu đơn giản dựa trên các từ được tìm thấy trong từ điển và không bao giờ sử dụng cùng một mật khẩu trên nhiều trang web hoặc dịch vụ.
"Như các sự kiện gần đây với các dịch vụ lớn khác đã được chứng minh, loại hoạt động này đang trở nên phổ biến hơn", Evernote nói.
Có quá nhiều dịch vụ và không thể theo dõi mật khẩu mạnh và duy nhất cho từng mật khẩu? Neil Rubenking của PCMag đã xem xét một số trình quản lý mật khẩu, chẳng hạn như 1Password và Editor's Choice LastPass 2.0.
Evernote cũng nhắc nhở người dùng không bao giờ nhấp vào liên kết "đặt lại mật khẩu" trong email. Thật khó để biết khi nào một tin nhắn email là một thông báo vi phạm hợp pháp từ công ty và khi đó là một tin nhắn lừa đảo để lấy cắp thông tin của bạn. Nếu bạn nghĩ rằng có vi phạm, hãy truy cập trang web và đặt lại mật khẩu bằng cơ chế mật khẩu của trang web. Đừng bao giờ nhấp vào liên kết trong email.
Evernote đã làm một sai lầm, mặc dù. Email của Evernote, với dòng tiêu đề "Thông báo bảo mật Evernote: Đặt lại mật khẩu toàn bộ dịch vụ", chứa một vài liên kết được nhúng tới evernote.com. Tuy nhiên, nếu người dùng di chuột qua liên kết, evernote.com dường như trực tiếp đến một tên miền mkt5371.com, Graham Cluley của Sophos lưu ý trên blog của Security Security. Trong trường hợp này, đó là một sai lầm tiếp thị, vì tên miền thuộc sở hữu của công ty truyền thông email Silverpop, người đã gửi email thay mặt cho Evernote.
Trong khi có thể hiểu được, nó "trông rất lạc lõng trong một email về một vi phạm bảo mật đã cố gắng nhấn mạnh vào điểm 'Không bao giờ nhấp vào' đặt lại mật khẩu 'trong email - thay vào đó hãy truy cập trực tiếp vào dịch vụ", Cluley nói.
"Bạn chắc chắn có thể hiểu lý do tại sao một người nào đó hoảng hốt vì vi phạm bảo mật Evernote sẽ bị báo động khi nhận được email có liên kết như vậy", ông nói thêm.