全球知名的筆記軟體Evernote宣布,該軟體日前遭到了黑客的攻擊,用戶名、用戶郵箱地址以及加密後的密碼都被黑客竊取。目前Evernote用戶一登錄國際版Evernote網站,即被要求強制修改密碼。不過,Evernote表示,Evernote專業版和 Evernote Business的支付信息資料並沒有外洩。
中國版的印象筆記也通過微博發布聲明稱,國內的印象筆記用戶不受此次影響,受到黑客影響的是國際版Evernote用戶。
雖然Evernote被黑客攻擊影響比較惡劣,但對比以前國內CSDN洩密門事件看,Evernote有幾點還是值得肯定的:
1、洩密之後很短的時間就能發現,而且發布公告並重置密碼,國內的幾年前就被黑,且封鎖消息。
2、洩密的密碼是加密的密碼,而不是明文。
筆者建議 Evernote (印象筆記)支持一下 Google 兩步驗證(Google Authenticator),這個密碼系統是開源的動態密碼(Dynamic Password),提供接口可供調用,這樣用戶把自己的帳號和手機動態密碼綁定,用戶使用靜態密碼登錄後,還需要驗證一次性動態密碼,只要手機不丟的話,黑客就無法訪問用戶Evernote上的內容。Dropbox就已經支持了 Google Authenticator 兩步驗證。
以下是Evernote的官方博客通知全文:
帳戶安全重要通告: 重置Evernote International服務密碼
親愛的Evernote International用戶,
Evernote運營和安全團隊最近發現並成功阻止了一項針對Evernote網絡的可疑活動,該活動可能試圖有組織的接入Evernote服務的安全區域。
為了預防未來的潛在數據隱患,我們決定請求所有用戶進行一次密碼重置。請閱讀以下內容了解詳情和步驟。
[請注意在中國獨立運營的印象筆記用戶並沒有受到此次可疑活動影響,所以無需進行任何操作。判斷你是印象筆記用戶還是Evernote International用戶,請登陸任何手機,平板和電腦平臺的Evernote服務,檢查「帳戶信息」下的Evernote電子郵箱地址是以m.yinxiang.com結尾還是m.evernote.com結尾:前者是印象筆記用戶,後者是Evernote International用戶]
通過一次全面仔細的檢查,我們未發現任何跡象表明你保存在Evernote中的任何內容被訪問過、修改過或丟失。Evernote高級帳戶的付款信息和Evernote企業帳戶也沒有任何被訪問過的跡象。
但是檢查顯示,參與這次可疑活動的人員能夠訪問到Evernote的用戶信息,包括與Evernote帳戶關聯的用戶名、郵箱地址和加密過後的密碼密文。儘管密碼密文有可能被訪問,但請特別注意,保存在Evernote中的所有帳戶密碼密文均採用不可逆的單向加密算法(one-way encryption)生成。(用專業術語表示,即所有密碼密文都是經過哈希算法處理並隨機生成(hashed and salted) )
儘管我們強大的加密方法非常安全,但為一直確保你的數據安全,我們總是希望多做一步預防措施 。所以慎重起見,我們現在請求所有用戶重新設置帳戶密碼。請在Evernote.com上登錄你的帳戶,並創建新密碼。
登錄後,你會收到提示,要求輸入新密碼。在Evernote.com上重新設置密碼後,需要你在所使用的其他平臺Evernote應用中輸入同樣的新密碼。
最近,其他大型服務商發生的類似事件表明,此類網絡活動越來越普遍。Evernote一直以高度保護你的數據安全為己任,並不斷地加強伺服器架構設計和提高安全等級,確保Evernote和你的內容的安全性。
你還可以採取以下幾個重要措施,確保自己在包括Evernote在內的任何網站上的數據安全:
避免使用過於簡單的密碼,比如字典中的現成詞彙
務必不要在多個網站和服務上使用同一個密碼
務必不要在郵件中點擊「重設密碼」,如果要修改密碼,請直接登錄該服務的網站
非常感謝你的時間。對於請求你修改帳戶密碼及由此帶來的不便,我們深表歉意。但最後我們想說,我們相信只需採取簡單的一步,就能夠為你帶來更加安全的Evernote體驗。如有任何問題,請隨時聯繫我們的用戶支持團隊。