Evernote mit Sicherheitsproblem
von caschy | 46 Kommentare
Viele Leser berichten mir gerade, dass sie gezwungen worden sind, ihr Evernote-Passwort zu ändern. Mein Test-Account war auch betroffen. Der Client öffnete sich und teilte mir mit, dass mein Passwort geändert wurde und ich dieses eingeben solle, um mich wieder einzuloggen. Nachdem ich hektisch versuchte, mich über die Webseite einzuloggen (mit meinem alten Passwort), wurde ich gezwungen, ein neues Passwort zu vergeben.
Ich schaute mich ein wenig um und fand heraus, dass Evernote diese Änderung kurzfristig bekannt gab. Man habe Einbrüche in das Netzwerk festgestellt. Aus Sicherheitsgründen hat man alle Passwörter zurück gesetzt, Daten sollen nicht verloren gegangen worden sein. Man gibt aber zu, dass die Angreifer Zugang zu euren Benutzernamen und E-Mail-Adressen hatten. Man teilte nicht mit, wie viele Adressen entwendet wurden, unter Umständen droht nun eine Spamwelle, wie es nach dem Sicherheitsproblem mit Dropbox der Fall war. Also Freunde – Passwort ändern, möglichst was Sicheres!
Wird geladen ...
Schön zu wissen, dass Evernote die Passwörter gehasht und gesalzen speichert. Nicht wie diverse andere Dienste, die es eigentlich besser wissen müssten…
Leider erfährt man erst durch solche Vorkommnisse wie die Dienste mit sowas umgehen. Ich bin jedenfalls froh über den Umgang von Evernote mit diesem Thema.
Kann mir hier mal jemand erklären, was euch genau aufregt?
Der Dienst wurde gehackt, stellt sicher, dass mit den geklauten Daten nichts angestellt werden kann (zb auf eure notes zugreifen) und gibt es unverzüglich öffentlich bekannt.. Für mich ist das ziemlich professionelles Verhalten!
@thomas: was findest du unverschämt?
Und was soll das ganze „Sicherheit“ aufgeschreie? Man kann einfach keinen 100%igen Schutz vor Hackerattacken gewährleisten. Habt ihr in letzter Zeit keine news gelesen, wo auch über Angriffe auf Microsoft etc die rede ist?
Klar, Evernote wäre vielleicht besser, wenn die Daten clientseitig verschlüsselt würden, aber afaik gibt es so einen Dienst nicht.. Und schon garnicht einen so hoch integrierten dienst wie Evernote..
Ich benutze Evernote zwar erst seit Anfang des Jahres so richtig produktiv, aber weiß es jetzt schon zu schätzen und werde auch nicht aufhören es zu nutzen..
Passwort geändert, Konto gelöscht.
@sYndrom: Dito!
@Stphn: Und wieder voll ins Fettnäpfchen gesprungen. Was das „Sicherheit“-Aufgeschreie soll? Nun, man hätte vielleicht bei einem Dienst von der Größe, wie Evernote einer ist einfach mehr Erwartungen in Hinblick auf Sicherheit und Datenschutz. Aber wenn man dann so etwas auf der Website liest, dann kriegt man doch das Kotzen:
„Wir würden in Zukunft gerne stärkere Verschlüsselung anbieten. Dazu brauchen wir allerdings mehr Mitarbeiter, um den langwierigen Export-Kampf zu führen. Premium-Nutzer können momentan externe Verschlüsselungslösungen zur Verschlüsselung wichtiger Dateien nutzen und diese dann verschlüsselt an Evernote senden.“
Also bitte einmal eine große Packung Mitleid für Evernote. Oder am besten Kohle, denn dafür bekommt man ja anscheinen mehr Sicherheit. Lächerlich, einem solchen Dienst wichtige oder gar sensible Daten anzuvertrauen.
Und mit der Aussage über die clientseitige Verschlüsselung hast Du Dich vollständig selbst disqualifiziert. Es gibt genug Dienste, die genau das anbieten. Inklusive Durchsuchen des Datenbestandes etc. (siehe Wuala, Doo, Outbank etc.) Techniken scheint es also hierfür zu geben. Man muss nur willens sein, diese anzuwenden bzw. Kohle für die Entwicklung in die Hand zu nehmen. Und wenn es auch „nur“ eine 2-Step-Verification ala Google oder Dropbox wäre, die ja vergleichsweise einfach zu implementieren wäre denke ich mal.
In diesem Sinne: viel Spaß bei der weiteren Nutzung von Evernote. Manche Menschen sind halt unbelehrbar.
@shad Und wann hat Dropbox die 2-step authentication eingeführt? Genau. BTW: Dein Rant ist IMHO vollkommen überzogen.
@dr3do: Und warum sind andere Dienste dann nicht direkt so schlau das umzustellen, wenn man Dropbox als Beispiel hatte? Genau.
@shad Tja… kommt Zeit, kommt Umstellung. Ich weiß nicht was Evernote im Hintergrund für Umstellungsaktivitäten am fahren ist. Du etwa? Eher wohl auch nicht. Aber ich denke es geht dir eher um Frustablassen/Bashen.
@dr3do mir geht es mitnichten um Bashen. Aber wenn was scheisse ist, dann sag ich nicht oh, das ist aber lecker Schokopudding und schnapp mir nen Löffel. Du könntest auch einfach mal lernen, andere Meinungen zu akzeptieren, statt sie in Frage zu stellen und daran rumzunörgeln. Danke.
In diesem Sinne werde ich auch weitere „Anmerkungen“ von Deiner Seite nicht mehr aufgreifen.
@shad:
Wie gesagt, es gibt kein richtiges Pendant zu Evernote, dass richtige clientseitige Verschlüsselung anbietet und genauso hoch integriert ist, wie Evernote. Die Dienste die du genannt hast (Wuala, Doo, Outbank, ..) sind alles keine Dienste wie Evernote: Wuala = Onlinespeicher, Doo = Dokumentenverwaltung, Outbank = Banking-App(?). Was bringt mir das? Evernote ist all das nicht. Evernote ist kein Onlinespeicher, Evernote ist keine Dokumentenverwaltung (zugegeben, man könnte Evernote dafür nutzen) und Evernote ist schon garkeine Banking-App. Evernote ist eine Ablagestelle, für alles, was dir im Kopf rumschwirrt, für jede Idee, für jeden Gedanken. Es ist eine Ablagestelle für alles Interessante, was du findest, sei es im Netz oder im wirklichen Leben, damit du dich später wieder daran erinnern kannst, etc. Das ist das Prinzip von Evernote..
Nicht das, wofür manche Leute es missbrauchen: Dokumentenverwaltung, speichern sensibler Kontodaten, Ablage von Rechnungen, etc. pp.
Und keiner ist so hoch integriert: Windows/Linux/Mac App, iOS App, Android App, Web App, Chrome Apps, in anderen Diensten nutzbar, etc. Evernote hat eine Infrastruktur aufgebaut, die kein anderer Dienst bieten kann.
Jeder ist selbst dafür veranwortlich, was er mit so einem Dienst anstellt. Wenn also jemand sensible Daten auf Evernote speichert, muss er sich auch den eventuellen Konsequenzen bewusst sein und nicht blind einem x-beliebigen Dienst vertrauen.
Wer selbst bei Wuala oder z.B. Mega sensible Daten speichert, ohne sie vorher selbst zu verschlüsselen, ist IMHO selbst Schuld falls seine Daten bei einer Hackerattacke geklaut werden.
Zugegeben, 2-Step-Verification ist schon lange etwas, was ich mir für Evernote wünsche, aber das heißt nicht, dass Evernote einen schelchten Job in Sachen Sicherheit macht. Relativ wenige Dienste bieten eine 2-Step-Verification an und wie ich bereits sagte, man kann keinen hundertprozentigen Hackerschutz implementieren. Ich finde der Fakt, dass außer Benutzername, E-Mail und hashed-and-salted Passwort nichts gestolen wurde, spricht für ein gutes aber verbesserungswürdiges Sicherheitskonzept.
Was mich aber am meisten bei Evernote bleiben lässt, ist der offene Umgang mit diesem Thema.
Schlimmer finde ich dagegen z.B. Firmen wie Groupon, bei denen man durch SPAM E-Mails bemerkt, dass sie entweder gehackt wurden oder die Kundendaten verkauft haben.
Würdest du bitte den Link zu deinem Zitat posten? Ich kann das Zitat nirgends auf Evernote.com finden.
Aber wie das Zitat schon selbst sagt: „externe Verschlüsselungslösungen“. Nicht Evernote verlangt es, dass du ein Premium-Nutzer bist, sondern die externe App, die deine Notes verschlüsselt.
Und zu letzt noch etwas zu diesem Satz:
„Also bitte einmal eine große Packung Mitleid für Evernote. Oder am besten Kohle, denn dafür bekommt man ja anscheinen mehr Sicherheit. “
Bei sowas bekomme ICH das kotzen. Hauptsache alles umsonst nutzen und keine Gegenleistung erbringen oder was?!
Mit was für einem Verständnis der Welt lebst du eigentlich dein Leben? Gehörtst du auch zu diesen Sozialschmarotzern die vom Staat schön Hartz IV kassieren ohne je einen Finger in einem Beruf gerührt zu haben?
Aber für dich ist das schöne an Evernote ja, dass es ein Freemium-Dienst ist, d.h. selbst als Free-Nutzer bekommst du 95% aller von Evernote selbst angebotenen Services und dafür solltest du dankbar sein; das ist kein Model was jede erfolgreiche Firma vertreten würde!
AFAIK bekommt man nur kleine Perks wie z.B. größere Uploads und Notes History wenn man Premiumkunde ist.
Das Prinzip dieses Freemium-Konzepts ist es ja, dass man der Firma freiwillig Geld zahlt, weil sie so einen guten Dienst leisten und man ihnen etwas zurückgeben möchte und nicht, weil man zusätzliche Funktionalität nutzen möchte.
Und ich dachte ich habe mein Password vergessen, war kurz davor mich im Altersheim einzuweisen. 😀 Na ja, die Evernote Entwickler sind auch nur Menschen…
@Michael: „Und warum muss ich sowas aus einem Blog erfahren und nicht vom Betreiber?“
Zum einen sollte es stutzig machen, wenn man beim Starten von Evernote darauf hingewiesen wird, dass das Passwort zurückgesetzt wurde. Das war bei mir irgendwann gestern der Fall. Außerdem hat Evernote die Kunden per Mail informiert (kam bei mir heute gegen 9.30 h an). Ob die dabei Unterschiede zwischen zahlenden und anderen Usern machen, weiß ich nicht.
Ahhhh. Der Update Hinweis der Android App von @dr3do hat geholfen. Danke dafür, sonst wäre ich beinahe verzweifelt bei der Suche nach dem „Passwort Ändern“…
@rezwiebel Gerne. (Ich war gestern vorschnell mit dem „logout“ und musste dann „büßen“, da ich eben alles erneut runterladen/syncen musste – sind ein paar GB. #kchchch)
@stphn Gute Zusammenfassung, full ACK.
Na Prima. Die E-Mailadresse mit der ich mich bei Evernote registriert hatte damals existiert nicht mehr, weil ich sie gelöscht habe und natürlich nicht dran gedacht hab. Und jetzt bekomm ich kein neues Passwort weil E-Mails damit bei mir nicht ankommen. Und Einloggen zum ändern kann ich mich ja auch nicht mehr. Nicht so toll. Was mach ich denn jetzt? Jemand eine Idee? :/
Hmm was ist mit deaktivierten Konten?
@stphn: Das Zitat findest Du unter https://de.support.evernote.com/link/portal/16051/16076/Article/2015/Welche-Verschl-sselung-verwendet-Evernote
Zum Thema genannte Dienste: die sollen als Beispiel dafür dienen, dass es möglich ist, Dienste – egal welcher Art – mit einer entsprechenden Verschlüsselung zu versehen.
Zum Thema Hartz IV: Über solche Anfeindungen kann ich nur lachen. Sofern ich Dienste gut finde, bin ich auch gerne bereit, dafür in die Tasche zu greifen im Gegensatz zu vielen anderen.
So bin ich zahlender User bei Spotify, Lovefilm und Co (nicht in den kleinsten Abos) und habe im Gegensatz zu vielen Billigheimern auch einen 50€/Monat Handyvertrag laufen. Also wenn Du mit sowas einem ans Bein pissen willst, dann such Dir jemanden, bei dem Du mit so einer Unterstellung auch ins Schwarze triffst.
Und im Gegensatz zu diesem Schmarotzerpack von dem Du da sprichst (zu dem Du gehörst?) geh ich tagtäglich arbeiten, um mir solche Dinge leisten zu können.
Und jetzt geh spielen.
@Carloin:
Brauchst die E-Mail Adresse mit der du dich registriert hattest nicht. Einfach auf der Web-Oberfläche von Evernote (https://www.evernote.com/Home.action) mit deinem bisherigen Passwort anmelden und du kannst sofort ein anderes Passwort vergeben.
Ich gehe davon aus, in dem Zitat ist gemeint, dass Evernote nur von Premium-Kunden andere (verschlüsselte) Dateitypen annimmt. Im Basispaket waren ja nur ein paar Dokumenttypen erlaubt, wenn ich mich recht erinnere.
Ich lese gerade irgendwo in den englischen Tiefen des Webs, dass Evernote noch dieses Jahr die 2-factor-authorization einführen will. Für mich eigentlich unverständlich, dies erst jetzt anzugehen, wenn es einen wirklich erwischt hat…
Evernote hat gerade bekanntgegeben, dass es die Einführung der Zwei-Stufen-Authentifizierung plant: http://www.informationweek.com/security/management/evernote-were-adding-two-factor-authenti/240150023