Evernote mit Sicherheitsproblem
Viele Leser berichten mir gerade, dass sie gezwungen worden sind, ihr Evernote-Passwort zu ändern. Mein Test-Account war auch betroffen. Der Client öffnete sich und teilte mir mit, dass mein Passwort geändert wurde und ich dieses eingeben solle, um mich wieder einzuloggen. Nachdem ich hektisch versuchte, mich über die Webseite einzuloggen (mit meinem alten Passwort), wurde ich gezwungen, ein neues Passwort zu vergeben.
Ich schaute mich ein wenig um und fand heraus, dass Evernote diese Änderung kurzfristig bekannt gab. Man habe Einbrüche in das Netzwerk festgestellt. Aus Sicherheitsgründen hat man alle Passwörter zurück gesetzt, Daten sollen nicht verloren gegangen worden sein. Man gibt aber zu, dass die Angreifer Zugang zu euren Benutzernamen und E-Mail-Adressen hatten. Man teilte nicht mit, wie viele Adressen entwendet wurden, unter Umständen droht nun eine Spamwelle, wie es nach dem Sicherheitsproblem mit Dropbox der Fall war. Also Freunde – Passwort ändern, möglichst was Sicheres!
Jep, bei mir auch.
oh nö…mein passwort für evernote steht doch nur in …evernote 😀
Das erklärt die ganzen Scam Paypal Mails die ich die letzten paar Tage erhalten habe …
Wurden die Passwörter den Angreifern auch sichtbar, oder nur die mail-Adressen?
Keine Mailbenachrichtigung an die Kunden??
Dann ist es hoffentlich wirklich nur bei der Mailadresse geblieben, sonst wäre das schon ziemlich frech… Und was Spam betrifft, da spielen ein paar mehr Mails dank GMail zum Glück kaum eine Rolle – wie reich ich doch schon wäre, wenn ich die Mails immer schön öffnen und befolgen würde!! 😉
Und warum muss ich sowas aus einem Blog erfahren und nicht vom Betreiber?
Hab mich schon gewundert…
http://evernote-de.tumblr.com/
Wer weiß, ob die Benachrichtigung an die Kunden nicht noch raus geht. Was ist euch lieber? Schnell Bescheid zu wissen, dass ein Fehler da ist, oder den Fehler erstmal korrigieren lassen und im nachhinein erfahren, was los war?
@theCed7 da Evernote ein recht fetter Dienst ist, kannst du davon ausgehen, dass die Passwörter nicht im Klartext gespeichert werden. Von daher: nein. Das verhindert aber nicht, dass „schlechte“ Passwörter trotzdem herausgefunden werden könnten (kommt drauf an, wie in der DB gehasht und gesaltet wurde und und und). Das bringt den Hackern für Dein Evernote-Konto nichts, allerdings solltest du schauen, ob du das Evernote-Passwort auch bei anderen Diensten mit demselben Benutzernamen bzw. derselben Mail-Addi benutzt hast. Falls ja, besser ändern. Und besser bei allen Diensten ein einmaliges Passwort verwenden. Macht sich am besten mit 1Password, LastPass, KeePassX etc.
Danke @Blubb für das Obsoletmachen meines Kommentars 😀
Und bevor die sich Andoid-User „vorschnell“ in der Evernote-App abmelden (und damit den kompletten Evernote-Cache löschen), erst mal Update machen. Evernote hat gleich eine neue Version rausgebracht, die auf den erzwungene reagiert. Das spart Bandbreite, wenn man a) ein größeres Evernote-Archiv hat und/oder b) gerade nur einen limitierten Datenplan zur Verfügung hat. #HTH
Ging vorgestern schon mit dem Update auf dem iPhone los – Evernote stürzte auf dem iPhone ständig ab – iPad lief aber. Heute kam ein Update für das iPhone und dies ging erst wieder, nachdem ich das Passwort gewechselt habe. Ging mir genau wie Caschy – habe es über die Internetseite geändert.
Will hoffen, dass der Spam wirklich ausbleibt… – trotzdem – es ist sicherlich kein Fehler ein Passwort auch mal zu wechseln – sind wir nicht alle „Gewohnheitsmenschen“….?
Hab mich schon gewundert. Mit deinem Beitrag warst du ja echt schnell 😉
Wenn die Daten ja durch diese Aktion jetzt geschützt wurden ist’s doch okay. Lieber mal alle zurücksetzen und den Dieben ein Beinchen stellen bevor der Knall kommt.
Evernote schreibt, dass die Passwörter entwendet wurden. Allerdings die seitens Evernote verschlüsselten Passwörter. Wer sich also die Mühe der Entschlüsselung macht, kann mit dem Nutzernamen und dem entschlüsselten Kennwort Unfug treiben.
So eine Authentifizierung der Clients via SMS-Pin wäre auch bei Evernote langsam echt mal sinnvoll.
Habs schon immer gesagt: Evernote ist ein Pillepalle-Dienst, bei dem Sicherheit ganz weit hinten steht.
Ich habe mich gewundert und dachte zuerst, es hinge mit meiner Kündigung des Premium-Zugangs zum 3.3. zusammen. Wäre ja etwas früh gewesen. Na hoffentlich macht sich keiner die Mühe, mit den Passwörtern was anzustellen.
Sicherheit ist bei Evernote offensichtlich kein großes Thema. Passt ja nun gut ins Bild mit den entwendeten Passwörtern. Mir gefällt das immer weniger und ich wäre ja auch schon längst weg – leider fehlen mir die Alternativen. Meine Mindestanforderungen sind:
1. Online-sync mit client-seitiger Verschlüsselung
2. Android-App
3. Zugang über Website (alternativ auch App/Programm für Windows denkbar)
Dateien lade ich ohnehin keine hoch. Somit quasi wie Mega oder Wuala für Notizen. Wenn jemand etwas weiß, bitte her damit!
Zum Glück hab ich damals für Evernote eine Wegwerfadresse von Spamgourmet benutzt.
Falls jemand Spamgourmet nicht kennt, es ist ein Dienst für Wegwerfadressen mit Weiterleitung. Man erstellt eine Adresse nach dem Muster schluesselwort.x.benutzername@spamgourmet.com. x ist dabei die maximale Anzahl an Emails die weitergeleitet werden und das Schlüsselwort (z.B. evernote) sorgt nur dafür damit man weiß wofür man die Adresse angelegt hat.
Hae mal ne böse Mail an den Ever-Support geschriben und mein Konto gelöscht. Finde ich ziemlich unverschämt.