Microsoft, Twitter, Facebook i Apple jsou mezi společnostmi, jejichž vnitřní sítě byly napadeny hackery. Podle informací přímo od těchto firem šlo o cílené útoky, v řadě případů využívajících napadení zaměstnanců těchto firem při návštěvě na zcela nesouvisejících webech. V některých případech prostřednictvím bezpečnostních chyb v Javě (viz Další 0day zranitelnost v Javě, včetně té aktuální „opravené“). V některých případech došlo k úniku informací o uživatelích, v ostatních případech se můžeme pouze spoléhat na tvrzení, že se „nic nestalo“.
Evernote's Operations & Security team has discovered and blocked suspicious activity on the Evernote network that appears to have been a coordinated attempt to access secure areas of the Evernote Service.
Uživatelům Evernote v sobotu dorazil e-mail oznamující reset hesel z důvodu „koordinovaných pokusů o přístup k zabezpečeným oblastem“. V e-mail Evernote ujišťuje uživatele, že se útočníkům nepodařilo dostat k uživatelskému obsahu ani jej jakkoliv změnit. Útok také prý nijak neohrozil platící zákazníky a jejich platební informace.
- Řada účtů na Twitteru hacknuta, Twitter resetuje hesla
- Hack Steamu způsobil více škody, než se původně čekalo
- Správce hesel LastPass řeší možný únik dat
- Facebook napaden „sofistikovaným“ útokem
- NBC.com šířilo malware sloužící ke krádežím hesel i ovládnutí počítačů
Útočníkům se ale podařilo získat přístup k informacím o uživatelích Evernote, uživatelským jménům, e-mailovým adresám a šifrovaným heslům (šifrovaných jednosměrným šifrováním).
The investigation has shown, however, that the individual(s) responsible were able to gain access to Evernote user information, which includes usernames, email addresses associated with Evernote accounts, and encrypted passwords. Even though this information was accessed, the passwords stored by Evernote are protected by one-way encryption. (In technical terms, they are hashed and salted.)
S ohledem na únik šifrované podoby hesel bude nutné si nastavit pro Evernote heslo nové – reset hesel znamená, že při prvním přihlášení na www.evernote.com bude uživatel vyzván k nastavení nového hesla.
Zvláštní na vynucené změně hesla je ale to, že jste při přihlášení (se stávajícím heslem) vyzváni k nastavení hesla nového, ale bez nutnosti tuto změnu potvrdit e-mailem. Pokud by se útočníkům podařilo rozlousknout získané heslo, neměli by tak nejmenší problém se dostat na váš účet. A po změně hesla změnit i e-mailovou adresu, takže by se vám již nemohlo podařit získat účet zpět.