Facebook、Apple和Twitter近來紛紛傳出遭駭,現在連當紅雲端筆記軟體Evernote也遭殃,電腦網路系統遭駭客入侵,部分帳戶、電子郵件和加密密碼曝光,Evernote發現後立刻封鎖可疑活動,建議全球5千萬名用戶重設密碼,同時也透露公司將加緊腳步提升資安系統。
科技長英柏格(Dave Engberg)表示,連同加密密碼等的會員資訊和使用者名稱、email地址等遭到入侵。他說:「這(些)人有辦法獲取會員資訊,包括使用者名稱,以及與Evernote帳號和加密密碼有關的emai地址。」
但Evernote否認會員資料遭竊,官網有這麼一段聲明:「公司最近的安全調查發現,沒有證據顯示會員儲存的內容遭竊、更改或遺失。」「也沒有證據指出任何專業版或企業客戶付款資料遭竊。」
Evernote提供個人雲端資料儲存服務,使用者可以將影片、照片、筆記等數據儲存在雲端伺服器。發言人史考特(Ronda Scott)透過email發表聲明,次此攻擊事件與近幾週其他網路大廠遭駭的手法類似。
史考特不願回答有多少帳戶曝光,以及未來駭客是否還有可能破解密碼。
英柏格表示,雖然這次駭客找到侵入途徑,但Evernote是「以單向加密的方式來保護這些密碼」,所以資訊安全無虞,而建議全球會員重設密碼只是「為了安全慎重起見」,攻擊並未對用戶造成立即性威脅。
根據科技部落格Information Week,Evernote因為這次事件決定加快腳步,提升其安全計畫和作為。
據稱,Evernote過去一直打算要引入雙重認證方式(two-factor authorization),也就是除了帳號和密碼外,再透過第二種認證工具來驗證使用者的身份,可以是使用者的生物特徵,或是手機或簡訊等。但報導強調,這麼做與最近這起駭客事件無關。
目前Evernote尚未表示何時會開始採用雙重認證,但發言人史考特已經說,公司有計畫「今年稍晚」可能實施,且「已經在加速計畫進行」。
同樣,目前也不知道Evernote會如何落實雙重認證,且即便這不失為一個好方法,還是要看使用者是否會願意多花這道手續,或許他們寧可安於目前的安全設定,並指望Evernote持續改善。不管如何,在新安全工具尚未推出前,會員最好還是重設密碼,而且還要挑組複雜、強度高的密碼。
from WIRED.tw http://wired.tw/2013/03/06/evernote-hacked/index.html
