Video: 10 Evernote Hacks & Tips (Noviembre 2024)
El organizador personal en línea Evernote restableció las contraseñas para todos sus usuarios después de que los atacantes violaron los sistemas de la compañía y accedieron a las credenciales de inicio de sesión, dijo la compañía en un correo electrónico a los clientes.
El equipo de seguridad de Evernote descubrió y bloqueó "actividad sospechosa en su red que parece haber sido un intento coordinado de acceder a áreas seguras" del servicio de Evernote, dijo la compañía en una publicación de blog el 2 de marzo. Mientras la investigación aún está en curso, el equipo descubrió que los atacantes habían accedido a la base de datos que contenía nombres de usuarios, direcciones de correo electrónico y contraseñas.
Evernote aseguró a los usuarios que, a pesar de que las contraseñas habían sido expuestas, el daño era limitado porque la compañía había utilizado el "cifrado unidireccional" (hash y salado) para proteger los datos. Esto significa que los atacantes tendrían más dificultades para descifrar la información para robar la contraseña real. La compañía también dijo que no había evidencia en el momento de que los detalles de la tarjeta de pago o el contenido almacenado real hubieran sido expuestos.
"Como medida de precaución para proteger sus datos, hemos decidido implementar un restablecimiento de contraseña", dijo Evernote, señalando que la decisión reflejaba "mucha precaución".
Evernote permite a las personas hacer listas, almacenar notas y organizar información personal, como videoclips, imágenes, páginas web e itinerarios almacenados en la nube. Se estima que la compañía con sede en California tiene 50 millones de usuarios.
Restablecimiento de contraseña y consejos
En el correo electrónico enviado a los clientes, Evernote dijo que se pedirá a los usuarios que creen una nueva contraseña después de iniciar sesión con sus credenciales originales. "Una vez que haya restablecido su contraseña en evernote.com, deberá ingresar esta nueva contraseña en otras aplicaciones de Evernote que use", decía el correo electrónico, como en dispositivos móviles. La compañía está actualizando algunas de las aplicaciones para simplificar el proceso de cambio de contraseña.
La compañía incluyó algunos consejos prácticos en su correo electrónico. Les recordó a los usuarios que no usen contraseñas simples basadas en palabras encontradas en el diccionario y que nunca usen la misma contraseña en múltiples sitios o servicios.
"Como lo han demostrado los eventos recientes con otros grandes servicios, este tipo de actividad se está volviendo más común", dijo Evernote.
¿Tiene demasiados servicios y no puede hacer un seguimiento de contraseñas seguras y únicas para cada uno? Neil Rubenking de PCMag ha analizado varios administradores de contraseñas, como 1Password y Editor's Choice LastPass 2.0.
Evernote también les recordó a los usuarios que nunca deben hacer clic en los enlaces "restablecer contraseña" en los correos electrónicos. Es difícil saber cuándo un mensaje de correo electrónico es una notificación de incumplimiento legítimo de la empresa y cuándo es un mensaje de phishing para robar su información. Si cree que hay una violación, vaya al sitio y restablezca las contraseñas utilizando el mecanismo de contraseña del sitio. Nunca haga clic en el enlace en el correo electrónico.
Sin embargo, Evernote cometió un error. El correo electrónico de Evernote, con el asunto "Aviso de seguridad de Evernote: restablecimiento de contraseña en todo el servicio", contenía algunos enlaces incrustados a evernote.com. Sin embargo, si el usuario se cernía sobre el enlace, evernote.com parecía dirigir a un dominio mkt5371.com, señaló Graham Cluley de Sophos en el blog Naked Security. En este caso, fue un error de marketing, ya que el dominio es propiedad de la firma de comunicaciones por correo electrónico Silverpop, quien envió el correo electrónico en nombre de Evernote.
Si bien es comprensible, "parece muy fuera de lugar en un correo electrónico sobre una violación de seguridad que trató de marcar el punto de 'Nunca hacer clic en las solicitudes de' restablecer contraseña 'en los correos electrónicos; en lugar de eso, vaya directamente al servicio'", dijo Cluley.
"Ciertamente se podría entender por qué alguien asustado por la violación de seguridad de Evernote se alarmaría al recibir un correo electrónico con enlaces como ese", agregó.
