Εισβολή στο Evernote, «αλατισμένα» τα password

Συντονισμένη προσπάθεια να μπουν στο δίκτυό της διέκοψε η ομάδα ασφάλειας της Evernote, μιας υπηρεσίας που φυλάει στο cloud και διατηρεί οργανωμένες σημειώσεις, έγγραφα και ηχητικές σημειώσεις για 50 εκατομμύρια χρήστες ανά τον κόσμο. Προληπτικά, η υπηρεσία καλεί τα μέλη της να αλλάξουν κωδικό εισόδου και θυμίζει τις τρεις εντολές της καλής διαδικτυακής ασφάλειας.

Οι επιτιθέμενοι παραμένουν ανώνυμοι, ωστόσο η αναζήτηση τυχόν ιχνών που άφησαν πίσω τους έδειξε με βεβαιότητα πως κατάφεραν να δουν τα στοιχεία των χρηστών, όχι όμως το περιεχόμενο που εμπιστεύτηκαν στην υπηρεσία στο cloud. Αυτό σημαίνει ότι μπορεί να έφυγαν με λάφυρα τα ονόματα χρηστών, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και κρυπτογραφημένα password. Οι κωδικοί εισόδου είχαν υποστεί hash (αντιστοίχιση με συμβολοσειρές σταθερού μήκους) και «έχουν αλατιστεί» (δηλαδή, συνοπτικά θα μπορούσαμε να πούμε ότι στον αλγόριθμο που παράγει το κρυπτογραφημένο password, το hash, έχει πέσει και λίγο «αλατάκι», δηλαδή τυχαία δεδομένα ώστε να αυξηθεί η πολυπλοκότητα της αποκρυπτογράφησης). Τα μέτρα αυτά καθιστούν δύσκολη την αποκρυπτογράφησή των κωδικών. Η Evernote όμως προτείνει στα μέλη της να αλλάξουν password.

Κατά τα άλλα, η υπηρεσία δηλώνει πως «δεν υπάρχουν αποδείξεις» ότι υπήρξε πρόσβαση σε κρίσιμα στοιχεία, όπως αριθμούς πιστωτικών καρτών για τους συνδρομητές των υπηρεσιών Premium και Business.

Το πλήγμα φαίνεται να εντάσσεται στο πλήθος ανεξήγητων μέχρι σήμερα ανάλογων επιθέσεων σε δημοφιλείς υπηρεσίες, όπως το Facebook και το Twitter ή εισβολές στο εσωτερικό δίκτυο μεγάλων επιχειρήσεων πληροφορικής όπως της Apple και της Microsoft, χωρίς ωστόσο να υπάρχουν αποδείξεις για αυτό.

Η Evernote θυμίζει στους χρήστες τρεις βασικές αρχές που θα πρέπει να διαπνέει τις αρχές επιλογής κωδικού:

• Δεν πρέπει να χρησιμοποιείτε ως password λέξεις από το λεξικό (ξέρετε πόσο εύκολο είναι για έναν υπολογιστή να επιχειρήσει να ταιριάξει τα λήμματα με τους κωδικούς;)
• Δεν πρέπει να χρησιμοποιείτε το ίδιο password σε διαφορετικές υπηρεσίες (εάν o επιτιθέμενος βρει τον κωδικό εισόδου για το λογαριασμό σας στο Evernote, θα μπορεί να δοκιμάσει να μπει και στο λογαριασμό σας στο Gmail, στο Facebook, στο Twitter και αλλού)
• Μην κάνετε ποτέ κλικ σε link μέσα σε e-mail που υποτίθεται ότι σας παραπέμπουν στην σελίδα όπου θα επανακαθορίσετε το password σας σε οποιαδήποτε υπηρεσία (reset password). Αντ’αυτού, πληκτρολογήστε εσείς στον browser την διεύθυνση της υπηρεσίας και αλλάξτε κωδικό. (Τα Link για reset password σε e-mail είναι ύποπτα, γιατί μπορεί να μην προσέξετε που σας οδήγησε το κλικ -η διεύθυνση ήταν αδιόρατη ή ενώ ήταν ορατή οδηγούσε αλλού.)

Σε αυτές, θα προσθέσουμε μια ακόμα:

• Εάν μια υπηρεσία που χρησιμοποιείτε δεχτεί επίθεση, αλλάξτε κωδικό όχι μόνο σε αυτήν αλλά και σε όλες τις υπηρεσίες όπου χρησιμοποιούσατε τον ίδιο κωδικό.

Διαβάστε επίσης στο tech.in.gr για το ιστορικό των επιθέσεων των τελευταίων μηνών:

• Μετά το Facebook και την Apple, και η Microsoft θύμα κυβερνοεπίθεσης

• Θύμα χάκερ και η Apple, μετά το Facebook και το Twitter

• Στόχος επίθεσης «επιδέξιων χάκερ» το Facebook

• Password αλλάζουν μαζικά χρήστες του Twitter
• Εκτεθειμένα έξι στα δέκα password για το LinkedIn
• Ορατά 400.000+ e-mail και password μετά από χτύπημα χάκερ στο Yahoo!

Άλλες χρήσιμες πληροφορίες σχετικά με την ασφάλεια:

• Να σου πω το password σου;
• «Βόμβα» η Java στους browser, πώς θα την απενεργοποιήσετε
• Κλοπή smartphone, laptop ή tablet: Τι να κάνετε πριν και… μετά
• Πότε δεν πρέπει να επιλέγετε το Wi-Fi στο σπίτι

In.gr Τεχνολογία