Artykuły dotyczące tematu: Evernote

dodany: 31.05.2013 | tagi: , ,

LinkedIn i Evernote bezpieczniejsze w korzystaniu

1

Znany serwis LinkedIn postanowił zwiększyć bezpieczeństwo dla swoich użytkowników wprowadzając opcję dwuetapowego uwierzytelniania.  Aby ją aktywować musimy podać swój numer telefonu komórkowego, gdyż dodatkowy etap uwierzytelniania polega na wpisaniu jednorazowego hasła SMS.

Włączenie tej opcji znajdziemy w ustawieniach naszego konta – potem przechodzimy na zakładkę KONTO, a następnie wybieramy Zarządzanie ustawieniami bezpieczeństwa:

Ustawienia bezpieczeństwa

Ustawienia bezpieczeństwa.

Po wybraniu opcji Włącz zostaniemy poproszeni o podanie numeru telefonu:

nr tel linkedinOstatnim krokiem jest podanie otrzymanego hasła SMS.

Evernote też nie gorszy

Także użytkownicy usług Evernote powinni się cieszyć większym bezpieczeństwem, gdyż tutaj także doczekaliśmy się dwuetapowego uwierzytelniania. Tym bardziej cieszy ten fakt, że od paru dni serwis ten jest dostępny także w języku polskim. Jak nie trudno się domyślić, opcja ta dotyczy niestety tylko płatnych edycji usług Evernote Premium oraz Business.  Podobnie jak w przypadku LinkedIn także tutaj drugi etap uwierzytelnienia następuje poprzez podanie jednorazowego hasła wysłanego SMS-em na nasz numer telefonu:

Źródło: blog.evernote.com

Źródło: blog.evernote.com.

Kod ma długość 6 znaków. Stosowną opcję znajdziemy w ustawieniach naszego konta, a potem wybierając zakładkę Bezpieczeństwo.

Nie jest to jedyne ulepszenie kontroli bezpieczeństwa – pojawiła się także historia logowań, która jest dostępna także w przypadku bezpłatnej wersji usługi:

Historia przeglądania evernote

To jednak nie koniec nowych funkcji polepszających bezpieczeństwo – kolejną opcją jest wybór autoryzacji aplikacji, która pozwala nam wybrać te aplikacje, na których nie będziemy musieli za każdym razem logować się. Dzięki temu w razie zgubienia urządzenia możemy odmówić uruchomienia aplikacji bez potrzeby uwierzytelnienia, aby osoba postronna nie uzyskała dostępu do naszych notatek:

Źródło blog.evernote.com

Źródło blog.evernote.com

Opcja ta jest także dostępna dla wszystkich użytkowników.

dodany: 03.03.2013 | tagi: ,

Włamanie na serwery Evernote

2

Administratorzy bezpieczeństwa serwisu Evernote poinformowali o włamaniu na swoje serwery. Na szczęście zorientowali się w porę i zablokowali podejrzaną aktywność. Według właścicieli serwisu włamywacze próbowali uzyskać dostęp do zabezpieczonej części serwisu.

Z tego powodu administratorzy wymusili reset hasła dla każdego użytkownika, chociaż właściciele serwisu nie mają dowodu na to, by doszło do przejęcia czy też zmiany  danych z jakiegokolwiek konta użytkownika. Nie ma też dowodów na to, by zostały wykradzione informacje dotyczące płatności użytkowników serwisu w wersji Premium i Business.

W celach zabezpieczenia przed atakiem w dniu wczorajszym serwis został wyłączony na parę godzin:

Evernote hacked

Co zdobyli włamywacze?

Niestety, zostały przejęte nazwy użytkowników wraz z ich adresami e-mail oraz zahashowane hasła (z tego powodu wymuszono ich reset).

Hasła do serwisu Evernote są na szczęście chronione metodą jednokierunkowego szyfrowania, tzn. najpierw hasło jest hashowane, a następnie „posolone” (ang. salted) – czyli sam hash jest wzbogacony dodatkowym ciągiem, który zwiększa trudność odczytania hasła.

 

Czy jest już bezpiecznie?

Według administratorów tak – aplikacja została zaktualizowana zarówno w wersji desktopowej, jak i mobilnej. Po zalogowaniu się do serwisu jesteśmy proszeni o zmianę hasła. Oprócz tego zapowiedziano na przyszłość ułatwienie procedury resetowania hasła.

Trochę dziwną linią obrony administratorów jest stwierdzenie, że tego typu działania hakerów występują ostatnio dość często. Dobrze, że mimo to nikt nie ucieka od odpowiedzialności za bezpieczeństwo danych, jak to się ma np. w przypadku Facebooka.

Oczywiście zalecamy zastosowanie silnego hasła i koniecznie indywidualnego dla danej usługi. Przestrzegamy też przed resetowaniem hasła bezpośrednio z linka naszej poczty elektronicznej – zawsze wykonujemy to  bezpośrednio przez serwis Evernote.

 

Phishing resetu hasła?

Ciekawe jest to, że firma sama przestrzega przed resetem hasła bezpośrednio z linka zawartego w mailu, a jednocześnie sama wysyła takiego maila!

przestrogi evernote

Nie jest to, co prawda, bezpośrednia sprawka administratorów – jak się okazało wspomniany link nie prowadzi bezpośrednio do serwisu Evernote, gdyż zawiera domenę mkt5371.com.

 

Źródło Naked Security

Źródło: Naked Security

Wygląda na phishing? Można by tak przypuszczać, ale na szczęście owa domena należy do firmy Silverpop, która zajmuje się marketingowym mailingiem na zlecenie Evernote. Miało to ułatwić wysłanie około 50 milionów maili, gdyż tylu jest użytkowników serwisu. Oczywiście odradzamy wykonywanie resetu hasła w ten sposób, mimo że link ostatecznie po przekierowaniu prowadzi do strony Evernote! Ktoś nie na darmo nie zamieścił bezpośredniego linku – nawet jeśli powodem tego ma być statystyka do zastosowania zmiany hasła…

Po zmianie hasła otrzymujemy na maila informację potwierdzającą z zastrzeżeniem, że jeśli stało to się bez naszej wiedzy, to powinniśmy wybrać przycisk Reset Password  – oczywiście jest on także podlinkowany do bezpośredniego resetu hasła…

evernote password change

 

W przypadku takiej dezinformacji mamy wątpliwości, co do treści oświadczenia, wydanego przez serwis, że żadne dane nie zostały wykradzione…