Hackerangriff auf Evernote: Populärer Online-Dienst verliert Namen, Mail-Adressen und Passwörter
Der Nichts-Mehr-Vergessen-Dienst „Evernote“ (Mac / iOS) hat als Reaktion auf einen Hacker-Angriff die Passwörter aller registrierten Benutzer-Konten zurückgesetzt und fordert Bestandskunden zur Stunde dazu auf, ihre Login-Details neu zu setzen.
Bei der Attacke auf die Server der erst im November runderneuerten Evernote-App seien, so der aktuelle Kenntnisstand, zwar keine persönlichen Dokumente abhanden gekommen, den Angreifern ist es jedoch gelungen Zugriff auf die Nutzer-Informationen des Webspeicher-Diensten zu erlangen.
User-Informationen, Nutzernamen, Mail-Adressen und der Bestand an (immerhin verschlüsselten) Passwörtern sind jetzt in den Händen Dritter. Vor dem nächsten Einsatz der Evernote-App müsst ihr euer Passwort über die Evernote-Webseite zurücksetzen.
While our password encryption measures are robust, we are taking additional steps to ensure that your personal data remains secure. This means that, in an abundance of caution, we are requiring all users to reset their Evernote account passwords. Please create a new password by signing into your account on evernote.com.
Wie schaut’s aus min Osomount Gewinnspiel ?
Genau deshalb brauch i den Dreck net. Je mehr Accounts, je mehr Geräte usw, umso „durchsichtiger“ is ma
So ein Quatsch!
Der einzige Grund Kennwörter zurückzusetzen dürfte ja wohl sein, dass tatsächlich Kennwörter ergaunert wurden (oder man davon ausgeht) und man nun Missbrauch vorbeugen möchte.
Wäre dies nicht der Fall, dann wäre so ein Schritt ja überflüssig.
Wurden sie ja. Nur eben verschlüsselt
Je schlechter das Passwort, umso leichter ist es zu entschlüsseln.
@Timecop: Du Fuchs.
@Daniel Das erklärt @m.w. , warum der Schritt nicht überflüssig ist.
…was bei ungesalzenen Hashes mit der Sicherheit eines Klartext-Password vergleichbar ist – Sicheheit ist was man daraus macht ;-)
Ein zweiter Grund wäre, dass lediglich Website und Twitter Account gehackt wurden, und die üblen Ganoven jetzt eure neuen Passwörter im Klartext bekommen, die alten aber immernoch sicher sind.
Es wurden die Server gehackt. Das heißt sie haben bereits alle gespeicherten Daten „geklaut“. Man Brauch also kein Passwort mehr, um darauf zuzugreifen ;)
Ich geb eine runde Gehirn aus…
Du solltest dein Gehirn behalten und noch was dazu kaufen. Es wurden Passwörter (robust verschlüsselt), eMail Adressen und Nutzernamen geklaut. So ein Bullshit ständig von dir !
Ach CTH, du hast doch echt keine Ahnung *hust* natürlich haben die bösen Hacker es geschafft mehrere 100 TB Daten von den Serven zu holen und das ohne dabei schon erwischt zu werden, was wollen die denn mit unsren Passwörter? Mit so na Einkaufsliste kann man doch mehr geld verdienen (Stichwort Marktforschung) :D
Und die paar firmendokumente sind halt noch ne kleine Dreingabe ;)
/hust
@CTH
+10000
@kleiner Pirat: Woher hast du diese gesicherten Informationen? Selbst ausgedacht, oder ? Blogeintrag von Evernote, geklaut heute bei n-tv: „Es gebe bislang keinen Hinweis darauf, dass auf gespeicherte Daten zugegriffen worden sei. Auch seien keine Daten verändert worden oder verlorengegangen.
Die Untersuchung habe allerdings ergeben, dass sich die Eindringlinge Zugang zu Nutzerinformationen verschafft haben, hieß es in dem Blogeintrag. Darunter seien Nutzernamen, Email-Adressen – und Passwörter, die aber „robust“ verschlüsselt seien. Nutzer werden bei ihrer nächsten Anmeldung dennoch aufgefordert, ihr Passwort zu ändern.“
@kleiner Pirat: oder hab ich Ironie übersehen ?
naja, wenn ich eine sache gelernt habe, dann die, niemals irgendwelchen offiziellen kundgebungen glauben zu schenken. muss aber jeder für sich selber entscheiden. die runde Gehirn fällt flach.
damit räts du also was alles so passiert ist, ziemlich hirnlos diese Denkweise … keine Beweise aber fein Behauptungen streuen … sinnlos …
Was für Beweise? Das können nur die von Evernote, was vermutlich deren Ende wäre oder die Hacker. Komm Las gut sein, is ok, alles wird gut, macht weiter ;)
Natürlich gibt es keine Hinweise auf Datenklau wenn man sich einloggt ihr Vögel. Bis die es bemerkt haben war schon alles kopiert, Gigabit Anbindung in China mit 7,5 GB/min :D!
Wann wurden die gehackt? In dem Blog-Eintrag von Evernote sehe ich kein Datum oder ich übersehe das…
Wie lang dauert es denn sein Passwort zu ändern?
Habe es vor 15 Minuten geändert, Änderung wurde bestätigt, nun wird weder das neue Passwort, noch das alte und auch nichts in Kombination mit Benutzername oder Email akzeptiert.
Eigentlich sollte man sich bei den Havkern bedanken
Nichts ist umsonst in dieser Welt – entweder man will Eire Kohle oder Eure Daten
„Daten sind das neue Öl“
Wieso, gehen sie in 25 Jahren aus?
Weiß nicht, ist ein Zitat eines Google Gründers ;)
Oder Kohle mit euren Daten machen :-)
Also sind Daten die neue Kohle?
Kann meine Notes jetzt nicht mehr sortieren :-(
Geht wieder nach dem Update. Und hab jetzt ein Premium Account mit 1GB und zahl nix.
Hättest du vor dem Update einen Premium Account gegen Geld?
Nö
Unter Steve wäre das nicht passiert, das ist das Ende von Apple.
Vielen Dank, das musste heute einfach mal gesagt werden!
verstehe ich nicht, was dies mit Apple zu tun haben soll…
Evernote ist u.a. Auf Apple Produkten verfügbar. Nutz dein Hirn!
Und [füge beliebigen KFZ-Hersteller hier ein] ist es.schuld, wenn ich schlechte Musik auf der Anlage höre, weil sie die CD abspielen kann.
Autovergleich, check.
—
Lennart, ist es bei dir kognitive Dissonanz oder ein extrem schlechter und sehr unlustiger Trollversuch?
@ Pazuzu: sehr schöner Vergleich!!!
@pazuzu: schön wie du deinen neu gelernten Begriff “ kognitive Dissonanz“ in jedem zweiten deiner posts unterbringst.
Ach, tue ich das? Ich glaube da liegst du falsch.
Aber schön, dass du auch mal etwas geschrieben hast.
Ironie wird es ab einem bestimmten Alter verstanden.
Das ist das Ende von Google und von Windows Phone. Oh mein Gott, sogar von Windows und MacOS. Da es auch eine Webseite gibt, ist das auch der Untergang vom Internet.
Hä? Das hat doch jetzt aber erst recht nichts damit zu tun!!!11
Das war ironie ;-)
selten so nen du,Men Kommentar wie der von lennart gelesen
*dummen
Pazuzu, dich gibt’s auch wieder? :D
Lennart=Youckfou ? Zumindest Geschwister, von beiden nur Bullshit …
nicht das ich wüsste, aber wenn es dir bei dem Gedanken besser geht?… mir solls recht sein.
Und Bullshit ist ansichtssache, deine scheisse stinkt auch ;)
@Lennar
Was zum Täufel auch immer das mit Apple zu tun hat. Langsam Zeit fürs Bettgehen…
Das war ein Scherz. Kapiert ihr nicht, wenn einer einen Witz macht?
Eben. Ich bin kürzlich auch schon auf Lennart hereingefallen. Der ist manchmal nicht leicht zu durchschauen, aber hier war es offensichtlich. :-)
Wieso hätte es nicht unter Steve passieren können? Hatte er konkrete Pläne, Massnahmen oder einen Change geplant, welche dies verhindert hätte können? Liegt hinter Euren Aussagen ein bisschen mehr als Blabla? Quellcodes, Satzbeschreibung oder Logs welche Eure Meinungen Aussagen stützen oder bestätigen?
Links oder Quellen wären sehr hilfreich statt „Nutz Dein Hirn“ Statements….
Dank an alle die, die mehr zu bieten haben und an den Rest… Auch Ihr habt eine Daseinsberechtigung ;)
Wei Steve R2,=AL4(VSAMOPEN)
MVC WORKAREA(VSAMOPLV),0(R2)
L R2,ACBPTR
OPEN ((R2)),MF=(E,(R10))
LTR R15,R15
BNZ ERROR19 gegen Evernote eingesetzt hätte.
@Pazuzu: da muss ich dir leider recht geben.
@lennart: solltest echt mal dein hirn anstrengen.
Nur weil das auf apple geräten verfügbar ist heißt das noch lange nicht, das ein besserer Firmenchef Apple’s den Hackerangriff vermieden hätte. Dann könnte man ja die schuld beim pleite gehen oder einen Hackerangriff auf firmen wie beispielsweise google immer auf Apple schieben. Iwie ein bisschen unlogisch, findet ihr nicht ;)
Das war glatte Ironie von Lennart…
Die Ironie-Keule ist die neue Art seinen hintern zu retten, um nicht als VollDAU enttarnt zu werden.
Als Ironie hätte ich es verstanden, wenn er nicht den zweiten Kommentar nachgeschoben hätte.
Hier ist ein Fehler im Beitrag, Evernote gibt es für Windows, Linux und ebenso für Android.
Freunde der ausschweifenden Kritik… Wie wäre es denn bei aller Liebe zur Kritik, den Evernote-Dienst auch mal zu loben? Ich persönlich finde es nämlich ausgesprochen gut, dass hier seitens Evernote offen kommuniziert wird! Danke Evernote. Weiter so. Das ist meines Erachtens vorbildlich!
Mit Hacker-Angriffen muss heutzutage jederzeit und in jedem Dienst gerechnet werden. Alles andere wäre naiv. Wer deshalb auf diese Dienste verzichten möchte: Bitte sehr. Es bleibt schließlich jedem selbst überlassen, wie man sich hier entscheidet. Allerdings braucht dann niemand unqualifizierte und leider häufig auch boshafte Kommentare gegenüber den Nutzern abzugeben, die sich für Cloud- und Onlinedienste entscheiden. Bitte ein wenig mehr Respekt. Wie wäre es denn statt mit Häme mit Wissen bzw. Tipps und Argumenten zu kontern?
Ich beispielsweise nutze evernote für alle möglichen Informationen, auf die ich gerne mal im Alltag zugreifen möchte. Als Beispiel nenne ich hier einfach mal: Küchen-Rezepte, was ich beim nächsten Baumarkt-Besuch noch dringend einkaufen wollte, Excel-Tipps wie man … usw. Ich nutze diesen Dienst auf keinen Fall zur Ablage meiner Einkommens-Nachweise, Passwörter und Zugangsdaten! Für meine Passwörter und Zugangsdaten nutze ich einen Passwort-Safe, der die anvertrauten Daten mit bewährten Methoden schützt (zum Beispiel mit einer 256-Bit-AES-Verschlüsselung) in meinem Fall: KeePass (auf dem Rechner) und MiniKeePass (auf meinem iPhone). Synchron halte ich die Daten über Dropbox. Selbst wenn nun also der Dropbox-Dienst gehackt wird, sind meine Benutzerdaten, Passwörter et cetera in meinem kleinen Passwort-Safe noch immer nicht betroffen. Vorher wird mir noch das Portmonee, mein Auto oder mein Handy geklaut (deutlich höhere Wahrscheinlichkeit). Denn auch im »realen Leben« gibt es keine hundertprozentige Sicherheit. Übrigens: für alle anderen Daten/Dateien, die nicht über eine eigenständige hochwertige Verschlüsselung verfügen, empfehle ich an dieser Stelle BoxCryptor. Dabei handelt es sich um eine Anwendung, die ganz hervorragend zum Beispiel mit Dropbox funktioniert und die Daten in Echtzeit beim Abspeichern und beim Wiederaufrufen innerhalb der Cloud ver- beziehungsweise entschlüsselt.
Allen noch einen weiterhin schönen Sonntag.
Klar, deutlich und respektvoll. das ist gut zu lesen.Danke
right :) ich bleibe auch noch bei meinem Evernote ACC.
Gibt’s eigentlich was neues von outbank ? Die nutzen ja auch unsichere Software in der cloud…
Ist so ruhig geworden.
Hey, ihr könntet ruhig etwas präziser sein. Die haben lt. Evernote keine Passworte geklaut, sondern „salted Hashes“ derselben. Das macht die Tatsache an sich nicht besser, die Konsequenzen sind aber weniger schlimm, weil die Hacker eben keine Klartextpassworte haben und wegen des „Salts“ beim Hashen selbst mit Wörterbuchattacken wohl nichts werden rekonstruieren können.
Bleibt also noch die Gefahr mit den Usernamen und Email-Adressen bald Phishing-Mails zu bekommen.
Software wird immer Fehler haben, die Hacker ausnutzen werden. Man kann beim Design solcher Systeme nur die Auswirkungen von solchen Fehlern minimieren. Aufregen über Einbrüche bringt nichts, die wird es auch in Zukunft geben. Hat Evernote bei der Sicherheit geschlampt? Die „Salted Hashes“ und die Detektion des Angriffs suggerieren das Gegenteil. Die Reaktion (Information und Passwort-Reset) spricht auch für sie. Nichts desto trotz gab es eine Lücke für den Einbrecher.
Mein Vertrauen hat Evernote noch nicht verloren. Ich hoffe aber, das sie bald noch mehr Details veröffentlichen und erklären, was diesen Einbruch ermöglicht hat und was sie gegen eine Wiederholung tun.
Salts verhindern keine Wörterbuchattacken, sie verhindern – korrekt eingesetzt – lediglich die Anwendung vorberechneter Rainbow Tables. Bei dämlich gewählten Passwörtern schützen Salts hingegen überhaupt nicht vor einer erfolgreichen Wörterbuchattacke. Der Schritt von EverNote, neue Passwörter zu erzwingen, ist also sinnvoll und wichtig.
Nicolas hat ja zumindest „(immerhin verschlüsselten) Passwörtern“ geschrieben. Mit dem Begriff „salted hash“ können viele Leser hier erfahrungsgemäß sowieso nichts anfangen. Leider. Informationen darüber ob ein Passwort nur gehashed oder auch gesalzen ist sind durchaus nützlich. Die Gründe hast du ja beschrieben.
So long, „+1“ für deinen Beitrag (oder wie auch immer man das heutzutage sagt)
Hast vollkommen recht, die Arbeit die Evernote vor und nach dem Angriff gemacht hat war vorbildlich und ist wirklich nachahmungswert…
Viele User verwenden in verschiedenen Web-Diensten das gleiche PW. Mit Name, Mail und dem Evernote PW lässt sich dementsprechend per try´n error eine Menge Schaden anrichten. Solche Vorfälle stimmen nachdenklich.
Aus Schaden wird man bekanntlich klug. Dasselbe Passwort für verschiedene Dienste zu benutzen ist aber genau das Gegenteil von klug.
Im realen Leben gibt es Dinge, die kann man tun und andere die sollte man nie tun (beispielsweise mit geschlossenen Augen über eine Autobahn zu laufen). Das gleiche Verhalten gilt auch für Online-Dienste! Mein kleiner Passwort-Safe (KeePass) verwaltet nicht nur meine Benutzer und Passworte, sondern generiert auch Passworte nach meinen Wünschen. Und da ich sie in KeePass gespeichert habe, brauche ich sie mir auch nicht zu merken. Und schon habe ich für die unterschiedlichsten Anwendungen und Bereiche völlig unterschiedliche und extrem sichere Passwort gebildet. Das Leben kann einfach und sicher sein.
Stimmt
Was ist denn das für ein seltsames Verfahren von Evernote, das Passwort zurückzusetzen???
Ich melde mich mit der E-Mail-Adresse an und werde gleich aufgefordert, ein neues Passwort zu erstellen.
Diese Aktion kann ich erst im Nachhinein durch eine Mail an meine Adresse rückgängig machen. Aber ich kann es nicht verhindern.
So können die Hacker weiterhin ungestört an die Accounts rankommen, indem sie einfach ein neues Passwort erstellen. :/
Wie sollen sie das tun? Wenn ich beim ersten anmelden mein Passwort geändert habe, kommt diese Aufforderung eben nicht mehr. Mit dem alten Passwort können die Hacker sich auch nicht mehr anmelden.
Kannst du bitte erklären, was du genau meinst?
Siehste, ich habe immer einen Grund gesucht, meinen Account bei Evernote zu löschen. Heute hat mir Evernote selbst den besten Grund geliefert. Und schon bin ich da nicht mehr.
Apple ist kürzlich auch gehackt worden. Verkaufst du jetzt all deine Apple-Geräte und gehst zu Microsoft? Ach nee, MS ist ja auch kürzlich gehackt worden … jetzt wirds aber echt schwierig.
+1
Kein einziger Artikel, in dem diese Hackerkriminalität nur ansatzweise verurteilt wird. Scheint sich ja zu einem neuen Volkssport zu entwickeln und widerstandslos akzeptiert zu werden. Na dann, gute Nacht Internet !!!
Es gibt tatsächlich Spackos die alle ihre Ordner digitalisiert haben und dank „Evernote“ immer dabei haben. Wenn die Pech haben, sind die Daten in Kopie jetzt auch woanders…
Halte nichts von diesen Cloudanbietern für Dokumente – generell.
Fotostream ist ja noch ok. Email geht nun mal nicht anders. Aber Dokumente in die Cloud laden? Und dafür ist Evernote nun mal da. Nein danke.