Evernote - онлайновий сервіс для зберігання персональних документів, в тому числі записок особистого характеру. Засновник компанії Степан Пачіков завжди позиціонував Evernote як «розширення пам'яті» людини. З цієї причини Evernote був досить імовірною мішенню для хакерів. Що ж, тепер у 50 мільйонів чоловік пам'ять зламана, якщо так можна висловитися.
Фахівці з безпеки позитивно оцінюють, що зміна паролів була здійснена протягом 48 годин після виявлення факту злому: це досить високий показник, який говорить про оперативно проведеному розслідуванні.
На жаль, інші аспекти операції зі зміни пароля були проведені не надто вдало. У листі користувачам використовувався URL, схожий на фішингових. Компанія не надала технічної інформації про злом і навіть не повідомила, який метод хешування і яка сіль застосовувалися для захисту призначених для користувача паролів. За відсутності такого звіту виникають побоювання, що витік бази з паролями -лише вершина айсберга.
Фахівці також звертають увагу, що в паролі для Evernote заборонено використовувати прогалини, це ускладнює використання пральних фраз. Керівництво компанії неодноразово обіцяло впровадити двухфакторную аутентифікацію, але так і не зробив цього. Evernote досі використовує слабке шифрування RC2 (64 біта) для захисту документів користувачів. Веб-сайт Evernote не підтримує HSTS, тобто базовий захист від MiTM-атак при установці SSL-з'єднання.
Деякі користувачі пригадують й інші грішки Evernote. Наприклад, що захищені з'єднання по SSL активувалися тільки для платних користувачів, але не для безкоштовних.
Поділися новиною з друзями: