Популярный за рубежом сервис Evernote взломан. Неизвестный злоумышленник получил доступ к базе данных с адресами электронной почты и парольными хэшами (с солью) всех пользователей Evernote. Сама база пока не опубликована в открытом доступе, но такая вероятность имеется.
Evernote — онлайновый сервис для хранения персональных документов, в том числе записок личного характера. Основатель компании Степан Пачиков всегда позиционировал Evernote как «расширение памяти» человека. По этой причине Evernote был весьма вероятной мишенью для хакеров. Что ж, теперь у 50 миллионов человек память взломана, если так можно выразиться.
2 марта компания Evernote сообщила об обнаружении посторонней активности на своих серверах и произвела принудительный сброс паролей для всех пользователей. Письмо такого содержания было отправлено всем пользователям Evernote. См. заметку «Как не нужно отправлять сообщения о переустановке пароля».
Специалисты по безопасности положительно оценивают, что смена паролей была произведена в течение 48 часов после обнаружения факта взлома: это довольно высокий показатель, который говорит об оперативно проведённом расследовании.
К сожалению, прочие аспекты операции по смене пароля были проведены не слишком удачно. В письме пользователям использовался URL, похожий на фишинговый. Компания не предоставила технической информации о взломе и даже не сообщила, какой метод хэширования и какая соль применялись для защиты пользовательских паролей. В отсутствие такого отчёта возникают опасения, что утечка базы с паролями —лишь вершина айсберга.
Специалисты также обращают внимание, что в паролях для Evernote запрещено использовать пробелы, это осложняет использование парольных фраз. Руководство компании неоднократно обещало внедрить двухфакторную аутентификацию, но так и не сделало этого. Evernote до сих пор использует слабое шифрование RC2 (64 бита) для защиты документов пользователей. Веб-сайт Evernote не поддерживает HSTS, то есть базовую защиту от MiTM-атак при установке SSL-соединения.
Некоторые пользователи припоминают и другие грешки Evernote. Например, что защищённые соединения по SSL активировались только для платных пользователей, но не для бесплатных.
- Подпись автора