Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Moderátor: Mods_senior

Uživatelský avatar
Jiří Macich ml.
Externí přispěvovatel
Level 1.5
Level 1.5
Příspěvky: 138
Registrován: září 12
Bydliště: Proboštov u Teplic
Pohlaví: Muž

Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Příspěvekod Jiří Macich ml. » 06 bře 2013 00:03

Téma týdne 9/2013: nový útok na Evernote připomněl stará rizika

TemaTydne_9.jpg


Populární služba Evernote, která slouží pro uchovávání nejrůznějších poznámek, čelila útoku a zřejmě z ní unikla data. Jaká konkrétně a na jaká témata nový útok hackerů na další populární službu znovu upozorňuje?

Minulý týden probíhal Mobile World Congress v Barceloně, na kterém byly představovány novinky z oblasti mobilních technologií, ale jelikož nepřinesl tentokrát nic skutečně revolučního či neočekávaného, tak za událost devátého týdne roku 2013 lze označit útok hackerů na Evernote, populární službu pro online uchovávání poznámek a přístup k nim z různých zařízení.

O víkendu uživatelé služby obdrželi znepokojující e-mail od jejího provozovatele. Ten prý zaznamenal „podezřelé aktivity jevící se jako koordinovaný pokus o přístup do zabezpečených oblastí služby“. Jinými slovy, služba čelila útoku hackerů a zřejmě neúspěšně, protože všem uživatelům jsou hromadně resetována hesla.

01.png

Provozovatel Evernote, kterým je stejnojmenná kalifornská společnost, se dušuje, že jde pouze o preventivní opatření. Jedním dechem ale dodává, že v rámci útoku bylo možné získat přístup k některým informacím včetně e-mailových adres uživatelů a jejich přístupových hesel. Jestli útočníci skutečně tato data získali, nebyla provozující společnost schopná sdělit ani na přímý dotaz.

V podobných případech se ale vyplatí počítat s tím nejhorším, takže vynucená změna všech hesel je určitě na místě. Neobezřetní uživatelé, kteří používají jedno heslo u více služeb, by si jej měli změnit všude, kde jej používají. Průšvih může nastat, pokud někdo používá totožné heslo i k e-mailové schránce, protože mezi daty dostupnými k odcizení byly také e-mailové adresy uživatelů.

Hesla sice unikla v šifrované podobě, ale to neznamená, že se je nepodaří rozluštit, jak se to stalo v mnoha případech při loňském hacknutí profesní sociální sítě LinkedIn. Evernote samozřejmě doporučuje nepoužívat jedno heslo pro přístup k více službám, což je obecná a dlouhodobě platná bezpečnostní poučka, kterou se ale uživatelé neřídí.

Přitom dnes není problém využívat pro každou službu unikátní silné heslo, které je dostatečně dlouhé a složené z náhodné kombinace malých a velkých písmen s číslicemi a speciálními znaky. Jednotlivá hesla si totiž není nutné pamatovat. I pro nejširší uživatelskou veřejnost jsou k dispozici vhodné nástroje, které si hesla zapamatují.

02.png

Od základních správců hesel ve webových prohlížečích přes služby typu LastPass po sofistikovaný software jako je Safetica. Všechna tato řešení jsou přinejmenším pro osobní použití k dispozici zdarma a uživatelům nabízejí vyšší míru ochrany jejich identity a dat, než jednoduché heslo používané napříč různými službami.

Zůstaly poznámky uživatelů v bezpečí?
Ale zpět ke službě Evernote a útoku na ni. Jasná odpověď na otázku, jestli poznámky zůstaly před útočníky v bezpečí, neexistuje. Provozovatel služby sice tvrdí, že nemá důkaz o přístupu k těmto datům, ale rovněž nemá pro uživatele explicitní ujištění, že poznámky zůstaly v bezpečí. Přitom právě do služby Evernote si mnoho uživatelů poznamenává řadu citlivých údajů.

Jedno pravidlo říká, že citlivé informace ve veřejných internetových službách nemají co pohledávat, ale tato bezpečnostní poučka pochází z dob, kdy průměrný uživatel Internetu měl nanejvýš uživatelský účet pro přístup k e-mailu. Dnes je situace zcela jiná a striktní dodržování tohoto pravidla je dosti obtížné.

S nástupem různých cloudových řešení a mobilních technologií nabízejících uživatelům přístup k jejich datům doslova kdekoliv a kdykoliv, je řídit se zmíněným pravidlem stále obtížnější. A nejde zdaleka jen o tento typ služeb, nýbrž i o různé sociální sítě, komunikační služby a služby pro sdílení dat, čímž se opět dostáváme k alespoň vhodné práci s hesly.

Uživatelé však sice požívající výhod služeb skladujících jejich data online, ale již nereflektují rizika, která tento typ služeb přináší. Z bezpečnostního hlediska je doslova k pláči, když v roce 2012 pětice nejpoužívanějších hesel vypadala takto: password, 123456, 12345678, abc123 a qwerty. Vina ale do značné míry leží i na samotných službách, protože jen část z nich vyžaduje nějakou minimální sílu hesla.

Unikly informace o platebních kartách?
Uživatele se zpoplatněným prémiovým účtem služby Evernote zajisté zajímá, jestli při nejčerstvějším významném bezpečnostním incidentu nemohlo dojít k úniku dat o jejich platební kartě. Odpověď je stejná jako v předchozím případě. Důkazy o úniku nejsou, ale jasné ujištění, že data neunikla, také ne.

Provozovatelé služeb ostatně žádná ujištění v podobných případech nedávají, protože chtějí předejít případným soudním sporům, kdyby se později ukázalo, že ujištění nebylo namístě. Na druhou stranu své služby koncipují tak, že uživatelé v případě bezpečnostních incidentů logicky vznáší dotazy, na které pak ale provozovatelé služeb nechtějí anebo nemohou dát jasnou odpověď.

Řeč je třeba o vyžadování poskytnutí údajů o platební kartě pro zaplacení za prémiové služby. Evernote se tedy v tomto ohledu řadí těm lepším, kteří akceptují platby i z nezávislých platebních systémů, ale platby kartou akceptuje rovněž. Čím více službám lidé sdělí informace nutné pro uskutečnění online platby kartou, tím více roste riziko jejich prozrazení a následného zneužití karty.

03.png

Snad není třeba příliš připomínat starší případ hacknutí služby PlayStation Network, kdy provozující Sony delší dobu o úniku informací mlčelo, přičemž ale nebylo schopné vyloučit, že unikly i údaje o platebních kartách. Proto by uživatelé měli preferovat ty služby, které akceptují platby přes PayPal nebo jiný podobný systém. Údaje o platební kartě jsou pak uložené na jednom místě.

Jenže se dostáváme do kruhu, ze kterého bez změny uživatelských návyků není cesty ven. Pokud uživatelé Evernote platící přes PayPal používají stejné heslo pro obě služby, tak útočníci mohou získat přístup i k jejich uživatelskému účtu u systému PayPal a potažmo ke všem jejich na tento účet napojeným platebním kartám.

Screenshoty: autor
Úvodní obrázek: Evernote
Nemáte oprávnění prohlížet přiložené soubory.


Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Zaměřuje se na tržní segmenty SOHO a SMB.

Reklama
  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Útok hackera? Co mám dělat?
    od Imfernus » 29 srp 2017 17:44 » v Vše ostatní (bezp)
    13
    424
    od Imfernus
    08 zář 2017 05:43
  • stará baterie
    od Hubatka » 07 bře 2017 20:12 » v Sítě - hardware
    6
    394
    od Hubatka
    11 bře 2017 08:24
  • Stará grafika - cena?
    od PL-C » 21 bře 2017 22:22 » v Vše ostatní (hw)
    2
    173
    od PL-C
    21 bře 2017 22:53
  • Stará pirátská hra
    od fantom004 » 17 čer 2017 14:17 » v Hry
    3
    276
    od fantom004
    18 čer 2017 21:20
  • Vadná grafika - 2 dny stará
    od Fiba » 29 bře 2017 20:25 » v Problémy s hardwarem
    13
    482
    od Fiba
    31 bře 2017 16:09

Zpět na “Ostatní články”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 0 hostů