ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
オンラインのパーソナルオーガナイザーEvernoteは、攻撃者が会社のシステムに侵入してログイン資格情報にアクセスした後、すべてのユーザーのパスワードをリセットすると、同社は顧客へのメールで述べた。
Evernoteセキュリティチームは、3月2日のブログ投稿で、Evernoteサービスの「セキュリティで保護された領域へのアクセスを調整する試みであると思われるネットワーク上の疑わしいアクティビティ」を発見し、ブロックしました。ユーザーの名前、電子メールアドレス、およびパスワードを含むデータベースが攻撃者によってアクセスされていたことがわかりました。
Evernoteは、パスワードが公開されていても、データを保護するために「一方向暗号化」(ハッシュとソルト)を使用していたため、損害は限定的であるとユーザーに保証しました。 これは、攻撃者が情報を解読して実際のパスワードを盗むのがより困難になることを意味します。 同社はまた、支払いカードの詳細または実際に保存されたコンテンツが公開された時点で証拠はなかったと述べた。
「データを保護するための予防措置として、パスワードのリセットを実装することを決定しました」とEvernote氏は述べ、決定には「十分な注意」が反映されていると指摘しました。
Evernoteを使用すると、ユーザーはリストを作成したり、メモを保存したり、クラウドに保存されているビデオクリップ、画像、Webページ、旅程などの個人情報を整理したりできます。 カリフォルニアに本拠を置く会社は、5000万人のユーザーを抱えていると推定されています。
パスワードのリセットとヒント
Evernoteは、顧客へのメールの中で、ユーザーが元の資格情報でログインした後に新しいパスワードを作成するように求められると述べました。 「evernote.comでパスワードをリセットしたら、使用する他のEvernoteアプリでこの新しいパスワードを入力する必要があります」と、モバイルデバイスなどの電子メールは述べています。 同社は、パスワード変更プロセスを簡素化するためにいくつかのアプリを更新しています。
同社は、電子メールにいくつかの実用的なヒントを含めました。 辞書で見つかった単語に基づいた単純なパスワードを使用せず、複数のサイトやサービスで同じパスワードを使用しないことをユーザーに思い出させました。
「他の大規模サービスでの最近の出来事が実証しているように、この種の活動はより一般的になっています」とエバーノートは言いました。
サービスが多すぎて、各サービスの強力で一意のパスワードを追跡できませんか? PCMagのNeil Rubenkingは、1PasswordやEditor's Choice LastPass 2.0など、いくつかのパスワードマネージャーを調査しました。
また、Evernoteは、メール内の「パスワードのリセット」リンクをクリックしないようユーザーに注意を促しました。 電子メールメッセージが会社からの正当な侵害通知であるかどうか、および情報を盗むためにフィッシングメッセージであるかどうかを判断するのは困難です。 違反があると思われる場合は、サイトにアクセスし、サイトのパスワードメカニズムを使用してパスワードをリセットします。 メール内のリンクをクリックしないでください。
しかし、Evernoteは1つの間違いを犯しました。 「Evernoteセキュリティに関するお知らせ:サービス全体のパスワードリセット」という件名のEvernoteの電子メールには、evernote.comへのいくつかの埋め込みリンクが含まれていました。 ただし、ユーザーがリンク上にマウスを置いた場合、evernote.comはmkt5371.comドメインに直接アクセスしているように見えた、とNaked SecurityブログでソフォスのGraham Cluleyが述べています。 この場合、Evernoteに代わってメールを送信したメールコミュニケーション会社Silverpopがドメインを所有しているため、マーケティングの誤りでした。
理解できるものの、「電子メールで「パスワードのリセット」リクエストをクリックするのではなく、サービスに直接アクセスするという点を打ち破ろうとしたセキュリティ侵害についての電子メールでは、非常に場違いに見えます」とクルーリー氏は言います。
「Evernoteのセキュリティ侵害でびっくりした人が、そのようなリンクが記載された電子メールを受信することに驚かされる理由を確実に理解できました」と彼は付け加えました。
