Комментарии 36
Начал эту новость писать, но бросил, так как начал разбираться в ситуации.
Во-первых, письма (как они пишут) не было. Но при входе да, запросилась смена пароля.
Во-вторых, очень странно, по поводу доступа к данным (заметки). Пишут, что получено не было, но очевидно, если был получен доступ к данным аккаунтов, то скорее всего и был доступ к заметкам (хотя, все же, может быть ситуация, что доступа и не было). Пламенный привет тем, кто хранит пароли в заметках evernote.
В-третьих, решил посмотреть, что они используют для блога. Оказался Wordpress. Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).
Неприятная ситуация. Хорошо, что хоть пароли с солью захэшированы. Еще один плюс к тому, что для каждого сервиса иметь свой пароль (прошлый год уже отличился LinkedIN, Gamigo, Adobe, Blizzard, eHarmony, Geissens, NVidia, Stratfor и Project Whitefo)
Во-первых, письма (как они пишут) не было. Но при входе да, запросилась смена пароля.
Во-вторых, очень странно, по поводу доступа к данным (заметки). Пишут, что получено не было, но очевидно, если был получен доступ к данным аккаунтов, то скорее всего и был доступ к заметкам (хотя, все же, может быть ситуация, что доступа и не было). Пламенный привет тем, кто хранит пароли в заметках evernote.
В-третьих, решил посмотреть, что они используют для блога. Оказался Wordpress. Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).
Неприятная ситуация. Хорошо, что хоть пароли с солью захэшированы. Еще один плюс к тому, что для каждого сервиса иметь свой пароль (прошлый год уже отличился LinkedIN, Gamigo, Adobe, Blizzard, eHarmony, Geissens, NVidia, Stratfor и Project Whitefo)
Вроде как при первом запуске клиента (на OS X по крайней мере) крайне советуется заметки с паролями шифровать дополнительно. В окошке этого самого шифрования, уверяется, что пароль шифрования заметки нигде более не хранится: d.pr/i/rdmP
Я тоже письма не получил и минут пять пытался понять, чего это клиент не может синхронизироваться и просит пароль. На счёт заметок — они могут лежать в совсем отдельном от профилей месте и не факт, что до них смогли добраться, если же добрались, то они тоже, конечно же, зашифрованы. Хотя пароли хранить в evernote всё равно плохая идея.
В любом случае, ситуация очень неприятная, как минимум у взломщиков в руках оказалась не слабая такая спам-база.
В любом случае, ситуация очень неприятная, как минимум у взломщиков в руках оказалась не слабая такая спам-база.
Хранить что-то ценное (настолько ценное, что стоимость потери выше, чем польза от удобства) в облаке плохо.
А как бэкапы спасут от утечки приватных данных?
Пусть утекают. Мне лично пофигу.
Кому нужны мои криптоконтейнеры?
Кому нужны мои криптоконтейнеры?
Если речь идёт о файловых хранилищах, тогда да, но далеко не во всех облачных сервисах идеологически возможно шифрование данных на стороне клиента, а что там происходит на сервере зачастую известно только разработчикам.
Evernote не использую (поигрался немного давно), но письмо было (в 22:58 от team@email.evernote.com).
>Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).
Вы действительно думаете, что блог и сервер с БД располагают на одном сервере? blog.evernote.com и evernote.com как минимум на разных адресах (не будем рассматривать случай, что это 2 ip одного сервера).
>Вполне вероятно, что взлом мог быть через него, если те не успели вовремя обновиться (сейчас у них стоит последняя версия).
Вы действительно думаете, что блог и сервер с БД располагают на одном сервере? blog.evernote.com и evernote.com как минимум на разных адресах (не будем рассматривать случай, что это 2 ip одного сервера).
Едва ли это блог. Evernote в состоянии выделить отдельную машину под блог. А учитывая, что блог связан более с маркетингом, чем с предоставлением услуг, вероятно, занимается им отдельные люди.
Даешь двухфакторную авторизацию через телефон!
Тоже не панацея, но поддерживаю — многие в evernote держат важные и приватные данные, грамотно реализованная двухфакторная аутентификация существенно уменьшила бы риски.
XSS (из комментов в ВК)
blog.evernote.com/ru/?s=%3Cimg%20src=%22about:blank%22%20onerror=prompt(1)%3E
Refused to execute a JavaScript script. Source code of script found within request.
Как всё таки радует Хром в таких моментах.
Refused to execute a JavaScript script. Source code of script found within request.
Как всё таки радует Хром в таких моментах.
Даже так
Не уверен что варианты взлома озвученные выше вообще подходят.
Неужели вы думаете что такая контора держит «морду» и форум рядом с базой пользователей?
Неужели вы думаете что такая контора держит «морду» и форум рядом с базой пользователей?
Я вот никак не могу понять, зачем использовать сторонние плагины, если, зачастую, они и подрывают всю безопасность?
На данный момент, разработчики принудительно инициировали процедуру сброса паролей, поэтому не удивляйтесь, если ваш клиент просит ввести пароль.Я вот этому не удивляюсь, т.к. перестал пользоваться Evernote из-за того, что приходилось вводить пароль каждую неделю. Не помню ни один аналогичный сервис, который бы так докучал этим. Ну сделайте же наконец галочку «Запомнить на год», пусть даже рядом будет ещё одна "(на свой страх и риск)", я пожалуй рискнул бы, поставил бы её, и стал бы снова пользоваться Evernote. А то получается, что это безопасность ради безопасности, а не для удобства пользователей, и всё равно её почему-то не хватило.
пользуюсь более года, пароль в клиентах (iOS, OS X, Windows) вводил не больше 5 раз, вы о чем?
Вероятно, речь о веб-интерфейсе. Там есть галочка «Запомнить на неделю».
Я имел ввиду веб-клиент, не пользуюсь им уже больше года, сегодня посмотрел, ничего не изменилось за это время, хотя письмо в техподдержку писал. Даже хуже стало, заставили сменить пароль, пришлось менять два раза, на новый, и старый, который мне браузерный плагин подставляет.
За сегодня evernote предложили сбросить/обновить пароль, сейчас в винде попросили установить новую версию приложения.
в андроид-гуглплэй еще не заходил… скорее всего, там тоже будет обновление.
в андроид-гуглплэй еще не заходил… скорее всего, там тоже будет обновление.
Они ведь могли узнать рецепты моей жены.
Есть такой сервис encipher.it — позволяет шифровать текст в любом сервисе. Принцип работы простой, делается клик на букмарк, вводится ключ и в результате текст заменяется на шифрованный. Расшифровка делается аналогично. Может кому-нибудь пригодится.
У меня вообще все это странно выглядело. Попробовал зайти на сайт — не пустило. Ну, думаю, взломали. Давай менять пароль. Сменил, зашел. Вышел, а потом опять войти не могу. Опять восстаналиваю. И так раза три. Полез искать логи входов в аккаунт — ничего подобного этот хваленый сервис не предоставляет. Полез искать мыло суппорта — тоже нет. Предлагается создавать публичные тикеты. Ну ладно, отписался там (кстати, тоже не пускало залогиниться, пришлось левый акк регить для системы тикетов). Поддержка сказала, что у вас проблем сейчас никаких нет — юзайте дальше, а логи мы не предоставляем. Вокруг тишина. Думаю, у меня одного такая проблема.
Потом через некоторое время посыпались на почту увадомления, дескать, мое обсуждение объединено со 100500 похожих тикетов. И только потом появилась запись в блоге. А обещанного письма я, как и многие, не получил.
Репутация Evernote сильно подмочена в моих глазах. В частности, из-за ничего не ведающей поддержки, отсутствия логов — будто это так сложно сделать, хотя доступ оффлайн в мобильных приложениях из той же оперы, видимо: плати — будет. Премиум не рассматриваю, т.к. не считаю приложение настолько полезным и незаменимым, чтобы за него платить. Ищу замену.
Потом через некоторое время посыпались на почту увадомления, дескать, мое обсуждение объединено со 100500 похожих тикетов. И только потом появилась запись в блоге. А обещанного письма я, как и многие, не получил.
Репутация Evernote сильно подмочена в моих глазах. В частности, из-за ничего не ведающей поддержки, отсутствия логов — будто это так сложно сделать, хотя доступ оффлайн в мобильных приложениях из той же оперы, видимо: плати — будет. Премиум не рассматриваю, т.к. не считаю приложение настолько полезным и незаменимым, чтобы за него платить. Ищу замену.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Evernote вероятно был взломан