Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Moderátor: Mods_senior

Uživatelský avatar
Jiří Macich ml.
Externí přispěvovatel
Level 1.5
Level 1.5
Příspěvky: 138
Registrován: září 12
Bydliště: Proboštov u Teplic
Pohlaví: Muž

Téma týdne 9/13:nový útok na Evernote připomněl stará rizika

Příspěvekod Jiří Macich ml. » 06 bře 2013 00:03

Téma týdne 9/2013: nový útok na Evernote připomněl stará rizika

TemaTydne_9.jpg


Populární služba Evernote, která slouží pro uchovávání nejrůznějších poznámek, čelila útoku a zřejmě z ní unikla data. Jaká konkrétně a na jaká témata nový útok hackerů na další populární službu znovu upozorňuje?

Minulý týden probíhal Mobile World Congress v Barceloně, na kterém byly představovány novinky z oblasti mobilních technologií, ale jelikož nepřinesl tentokrát nic skutečně revolučního či neočekávaného, tak za událost devátého týdne roku 2013 lze označit útok hackerů na Evernote, populární službu pro online uchovávání poznámek a přístup k nim z různých zařízení.

O víkendu uživatelé služby obdrželi znepokojující e-mail od jejího provozovatele. Ten prý zaznamenal „podezřelé aktivity jevící se jako koordinovaný pokus o přístup do zabezpečených oblastí služby“. Jinými slovy, služba čelila útoku hackerů a zřejmě neúspěšně, protože všem uživatelům jsou hromadně resetována hesla.

01.png

Provozovatel Evernote, kterým je stejnojmenná kalifornská společnost, se dušuje, že jde pouze o preventivní opatření. Jedním dechem ale dodává, že v rámci útoku bylo možné získat přístup k některým informacím včetně e-mailových adres uživatelů a jejich přístupových hesel. Jestli útočníci skutečně tato data získali, nebyla provozující společnost schopná sdělit ani na přímý dotaz.

V podobných případech se ale vyplatí počítat s tím nejhorším, takže vynucená změna všech hesel je určitě na místě. Neobezřetní uživatelé, kteří používají jedno heslo u více služeb, by si jej měli změnit všude, kde jej používají. Průšvih může nastat, pokud někdo používá totožné heslo i k e-mailové schránce, protože mezi daty dostupnými k odcizení byly také e-mailové adresy uživatelů.

Hesla sice unikla v šifrované podobě, ale to neznamená, že se je nepodaří rozluštit, jak se to stalo v mnoha případech při loňském hacknutí profesní sociální sítě LinkedIn. Evernote samozřejmě doporučuje nepoužívat jedno heslo pro přístup k více službám, což je obecná a dlouhodobě platná bezpečnostní poučka, kterou se ale uživatelé neřídí.

Přitom dnes není problém využívat pro každou službu unikátní silné heslo, které je dostatečně dlouhé a složené z náhodné kombinace malých a velkých písmen s číslicemi a speciálními znaky. Jednotlivá hesla si totiž není nutné pamatovat. I pro nejširší uživatelskou veřejnost jsou k dispozici vhodné nástroje, které si hesla zapamatují.

02.png

Od základních správců hesel ve webových prohlížečích přes služby typu LastPass po sofistikovaný software jako je Safetica. Všechna tato řešení jsou přinejmenším pro osobní použití k dispozici zdarma a uživatelům nabízejí vyšší míru ochrany jejich identity a dat, než jednoduché heslo používané napříč různými službami.

Zůstaly poznámky uživatelů v bezpečí?
Ale zpět ke službě Evernote a útoku na ni. Jasná odpověď na otázku, jestli poznámky zůstaly před útočníky v bezpečí, neexistuje. Provozovatel služby sice tvrdí, že nemá důkaz o přístupu k těmto datům, ale rovněž nemá pro uživatele explicitní ujištění, že poznámky zůstaly v bezpečí. Přitom právě do služby Evernote si mnoho uživatelů poznamenává řadu citlivých údajů.

Jedno pravidlo říká, že citlivé informace ve veřejných internetových službách nemají co pohledávat, ale tato bezpečnostní poučka pochází z dob, kdy průměrný uživatel Internetu měl nanejvýš uživatelský účet pro přístup k e-mailu. Dnes je situace zcela jiná a striktní dodržování tohoto pravidla je dosti obtížné.

S nástupem různých cloudových řešení a mobilních technologií nabízejících uživatelům přístup k jejich datům doslova kdekoliv a kdykoliv, je řídit se zmíněným pravidlem stále obtížnější. A nejde zdaleka jen o tento typ služeb, nýbrž i o různé sociální sítě, komunikační služby a služby pro sdílení dat, čímž se opět dostáváme k alespoň vhodné práci s hesly.

Uživatelé však sice požívající výhod služeb skladujících jejich data online, ale již nereflektují rizika, která tento typ služeb přináší. Z bezpečnostního hlediska je doslova k pláči, když v roce 2012 pětice nejpoužívanějších hesel vypadala takto: password, 123456, 12345678, abc123 a qwerty. Vina ale do značné míry leží i na samotných službách, protože jen část z nich vyžaduje nějakou minimální sílu hesla.

Unikly informace o platebních kartách?
Uživatele se zpoplatněným prémiovým účtem služby Evernote zajisté zajímá, jestli při nejčerstvějším významném bezpečnostním incidentu nemohlo dojít k úniku dat o jejich platební kartě. Odpověď je stejná jako v předchozím případě. Důkazy o úniku nejsou, ale jasné ujištění, že data neunikla, také ne.

Provozovatelé služeb ostatně žádná ujištění v podobných případech nedávají, protože chtějí předejít případným soudním sporům, kdyby se později ukázalo, že ujištění nebylo namístě. Na druhou stranu své služby koncipují tak, že uživatelé v případě bezpečnostních incidentů logicky vznáší dotazy, na které pak ale provozovatelé služeb nechtějí anebo nemohou dát jasnou odpověď.

Řeč je třeba o vyžadování poskytnutí údajů o platební kartě pro zaplacení za prémiové služby. Evernote se tedy v tomto ohledu řadí těm lepším, kteří akceptují platby i z nezávislých platebních systémů, ale platby kartou akceptuje rovněž. Čím více službám lidé sdělí informace nutné pro uskutečnění online platby kartou, tím více roste riziko jejich prozrazení a následného zneužití karty.

03.png

Snad není třeba příliš připomínat starší případ hacknutí služby PlayStation Network, kdy provozující Sony delší dobu o úniku informací mlčelo, přičemž ale nebylo schopné vyloučit, že unikly i údaje o platebních kartách. Proto by uživatelé měli preferovat ty služby, které akceptují platby přes PayPal nebo jiný podobný systém. Údaje o platební kartě jsou pak uložené na jednom místě.

Jenže se dostáváme do kruhu, ze kterého bez změny uživatelských návyků není cesty ven. Pokud uživatelé Evernote platící přes PayPal používají stejné heslo pro obě služby, tak útočníci mohou získat přístup i k jejich uživatelskému účtu u systému PayPal a potažmo ke všem jejich na tento účet napojeným platebním kartám.

Screenshoty: autor
Úvodní obrázek: Evernote
Nemáte oprávnění prohlížet přiložené soubory.


Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Zaměřuje se na tržní segmenty SOHO a SMB.

Reklama
  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Heslo W10 stara znama tema
    od SophiaL » 06 čer 2019 11:02 » v Windows 10, 8, 7, Vista, XP…
    2
    279
    od TRNX
    06 čer 2019 11:42
  • Nový Ryzen a stará deska
    od infidel914 » 14 čer 2019 08:48 » v Rady s výběrem hardwaru a sestavením PC
    1
    365
    od petr22
    14 čer 2019 08:51
  • nemožnost synchronizace db Evernote
    od petrofff » 26 lis 2018 10:06 » v Vše ostatní (sw)
    1
    375
    od ITCrowd
    26 lis 2018 10:19
  • 2TB nebo 3TB hdd? nějaké rizika?
    od muffy » 28 srp 2018 19:33 » v Rady s výběrem hardwaru a sestavením PC
    9
    603
    od vuLva
    29 srp 2018 12:37
  • Stará sestava
    od jarek3202 » 03 kvě 2019 16:34 » v Rady s výběrem hardwaru a sestavením PC
    5
    430
    od JegenaJk
    05 kvě 2019 02:59

Zpět na “Ostatní články”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 1 host