Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Moderátor: Mods_senior

Uživatelský avatar
Jiří Macich ml.
Externí přispěvovatel
Level 1.5
Level 1.5
Příspěvky: 138
Registrován: září 12
Bydliště: Proboštov u Teplic
Pohlaví: Muž
Stav:
Offline
Kontakt:

Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Příspěvekod Jiří Macich ml. » 06 bře 2013 00:03

Téma týdne 9/2013: nový útok na Evernote připomněl stará rizika

TemaTydne_9.jpg
TemaTydne_9.jpg (6.78 KiB) Zobrazeno 5541 x


Populární služba Evernote, která slouží pro uchovávání nejrůznějších poznámek, čelila útoku a zřejmě z ní unikla data. Jaká konkrétně a na jaká témata nový útok hackerů na další populární službu znovu upozorňuje?

Minulý týden probíhal Mobile World Congress v Barceloně, na kterém byly představovány novinky z oblasti mobilních technologií, ale jelikož nepřinesl tentokrát nic skutečně revolučního či neočekávaného, tak za událost devátého týdne roku 2013 lze označit útok hackerů na Evernote, populární službu pro online uchovávání poznámek a přístup k nim z různých zařízení.

O víkendu uživatelé služby obdrželi znepokojující e-mail od jejího provozovatele. Ten prý zaznamenal „podezřelé aktivity jevící se jako koordinovaný pokus o přístup do zabezpečených oblastí služby“. Jinými slovy, služba čelila útoku hackerů a zřejmě neúspěšně, protože všem uživatelům jsou hromadně resetována hesla.

01.png

Provozovatel Evernote, kterým je stejnojmenná kalifornská společnost, se dušuje, že jde pouze o preventivní opatření. Jedním dechem ale dodává, že v rámci útoku bylo možné získat přístup k některým informacím včetně e-mailových adres uživatelů a jejich přístupových hesel. Jestli útočníci skutečně tato data získali, nebyla provozující společnost schopná sdělit ani na přímý dotaz.

V podobných případech se ale vyplatí počítat s tím nejhorším, takže vynucená změna všech hesel je určitě na místě. Neobezřetní uživatelé, kteří používají jedno heslo u více služeb, by si jej měli změnit všude, kde jej používají. Průšvih může nastat, pokud někdo používá totožné heslo i k e-mailové schránce, protože mezi daty dostupnými k odcizení byly také e-mailové adresy uživatelů.

Hesla sice unikla v šifrované podobě, ale to neznamená, že se je nepodaří rozluštit, jak se to stalo v mnoha případech při loňském hacknutí profesní sociální sítě LinkedIn. Evernote samozřejmě doporučuje nepoužívat jedno heslo pro přístup k více službám, což je obecná a dlouhodobě platná bezpečnostní poučka, kterou se ale uživatelé neřídí.

Přitom dnes není problém využívat pro každou službu unikátní silné heslo, které je dostatečně dlouhé a složené z náhodné kombinace malých a velkých písmen s číslicemi a speciálními znaky. Jednotlivá hesla si totiž není nutné pamatovat. I pro nejširší uživatelskou veřejnost jsou k dispozici vhodné nástroje, které si hesla zapamatují.

02.png

Od základních správců hesel ve webových prohlížečích přes služby typu LastPass po sofistikovaný software jako je Safetica. Všechna tato řešení jsou přinejmenším pro osobní použití k dispozici zdarma a uživatelům nabízejí vyšší míru ochrany jejich identity a dat, než jednoduché heslo používané napříč různými službami.

Zůstaly poznámky uživatelů v bezpečí?
Ale zpět ke službě Evernote a útoku na ni. Jasná odpověď na otázku, jestli poznámky zůstaly před útočníky v bezpečí, neexistuje. Provozovatel služby sice tvrdí, že nemá důkaz o přístupu k těmto datům, ale rovněž nemá pro uživatele explicitní ujištění, že poznámky zůstaly v bezpečí. Přitom právě do služby Evernote si mnoho uživatelů poznamenává řadu citlivých údajů.

Jedno pravidlo říká, že citlivé informace ve veřejných internetových službách nemají co pohledávat, ale tato bezpečnostní poučka pochází z dob, kdy průměrný uživatel Internetu měl nanejvýš uživatelský účet pro přístup k e-mailu. Dnes je situace zcela jiná a striktní dodržování tohoto pravidla je dosti obtížné.

S nástupem různých cloudových řešení a mobilních technologií nabízejících uživatelům přístup k jejich datům doslova kdekoliv a kdykoliv, je řídit se zmíněným pravidlem stále obtížnější. A nejde zdaleka jen o tento typ služeb, nýbrž i o různé sociální sítě, komunikační služby a služby pro sdílení dat, čímž se opět dostáváme k alespoň vhodné práci s hesly.

Uživatelé však sice požívající výhod služeb skladujících jejich data online, ale již nereflektují rizika, která tento typ služeb přináší. Z bezpečnostního hlediska je doslova k pláči, když v roce 2012 pětice nejpoužívanějších hesel vypadala takto: password, 123456, 12345678, abc123 a qwerty. Vina ale do značné míry leží i na samotných službách, protože jen část z nich vyžaduje nějakou minimální sílu hesla.

Unikly informace o platebních kartách?
Uživatele se zpoplatněným prémiovým účtem služby Evernote zajisté zajímá, jestli při nejčerstvějším významném bezpečnostním incidentu nemohlo dojít k úniku dat o jejich platební kartě. Odpověď je stejná jako v předchozím případě. Důkazy o úniku nejsou, ale jasné ujištění, že data neunikla, také ne.

Provozovatelé služeb ostatně žádná ujištění v podobných případech nedávají, protože chtějí předejít případným soudním sporům, kdyby se později ukázalo, že ujištění nebylo namístě. Na druhou stranu své služby koncipují tak, že uživatelé v případě bezpečnostních incidentů logicky vznáší dotazy, na které pak ale provozovatelé služeb nechtějí anebo nemohou dát jasnou odpověď.

Řeč je třeba o vyžadování poskytnutí údajů o platební kartě pro zaplacení za prémiové služby. Evernote se tedy v tomto ohledu řadí těm lepším, kteří akceptují platby i z nezávislých platebních systémů, ale platby kartou akceptuje rovněž. Čím více službám lidé sdělí informace nutné pro uskutečnění online platby kartou, tím více roste riziko jejich prozrazení a následného zneužití karty.

03.png

Snad není třeba příliš připomínat starší případ hacknutí služby PlayStation Network, kdy provozující Sony delší dobu o úniku informací mlčelo, přičemž ale nebylo schopné vyloučit, že unikly i údaje o platebních kartách. Proto by uživatelé měli preferovat ty služby, které akceptují platby přes PayPal nebo jiný podobný systém. Údaje o platební kartě jsou pak uložené na jednom místě.

Jenže se dostáváme do kruhu, ze kterého bez změny uživatelských návyků není cesty ven. Pokud uživatelé Evernote platící přes PayPal používají stejné heslo pro obě služby, tak útočníci mohou získat přístup i k jejich uživatelskému účtu u systému PayPal a potažmo ke všem jejich na tento účet napojeným platebním kartám.

Screenshoty: autor
Úvodní obrázek: Evernote
Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Zaměřuje se na tržní segmenty SOHO a SMB.

Reklama
  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Phishingovy utok aneb email odesilatele Příloha(y)
    od drobino » 15 pro 2023 08:22 » v Vše ostatní (sw)
    14
    1684
    od 28nitro28 Zobrazit poslední příspěvek
    17 pro 2023 20:12
  • Stará Česká adventura
    od Mynyus » 22 pro 2023 19:57 » v Hry
    2
    966
    od flowem Zobrazit poslední příspěvek
    23 pro 2023 11:42
  • Motorola moto g32 nebo g51 a stará sim
    od p3v4x » 16 úno 2024 10:45 » v Mobily, tablety a jiná přenosná zařízení
    2
    432
    od p3v4x Zobrazit poslední příspěvek
    16 úno 2024 12:07
  • Nový pc do 40 000
    od fukees » 18 čer 2023 07:36 » v Rady s výběrem hw a sestavením PC
    3
    793
    od Alferi Zobrazit poslední příspěvek
    18 čer 2023 15:45
  • Novy PC cca 25k
    od Lebedil » 06 kvě 2023 19:25 » v Rady s výběrem hw a sestavením PC
    2
    842
    od pcmaker Zobrazit poslední příspěvek
    07 kvě 2023 15:38

Zpět na “Ostatní články”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host