Evernote „gehackt“? Nun mal langsam …

bild-evernote

Die BILD halt …

[Aktualisierung 5. 3. 13: Evernote gibt bekannt, dass das Unternehmen als Konsequenz demnächst die Zwei-Stufen-Authentifizierung (z. B. Passwort und Handynummer wie bei Google-Accounts) für seine Anwender einführen wird.]

Am Samstag hat es Evernote erwischt. Das Sicherheitsteam des Dienstes hatte festgestellt, dass sich Außenstehende Zugang zu einem Teilbereich der Daten verschaffen konnten. Anders als bei Microsoft, Facebook oder WhatsApp gab es kein langes Zögern, kurzerhand wurde das System so umgestellt, dass jeder Evernote-Nutzer – egal, ob er nun betroffen war oder nicht – ein neues Passwort wählen musste. Diese Passwortänderung konnte man zunächst nur durch Einloggen auf der Webseite vornehmen, aber Evernote hat es geschafft, noch am gleichen Tag neue Apps seiner Software in die Stores zu laden. Einige Stunden später ging dann die Erläuterungsmail an die Anwender raus.

Was muss der Anwender tun?

Nicht viel – er muss seinem Konto eigentlich nur ein neues Passwort verpassen. Also eine Sache von einer Minute und dabei kann man sich gleich eine etwas längere/komplexere Veriante als „Lena18“ einfallen lassen 😉

Welche Daten sind in welchem Umfang betroffen?

Zunächst: Die Inhalte und Dokumente des eigenen Evernote-Kontos sind gar nicht betroffen, da sich diese in einem anderen System befinden.

 

Potentiell konnte nur auf drei Daten zugegriffen werden: Nutzername, Mail-Adresse und auf das durch Verschlüsselung geschützte Passwort. Es wurden also keineswegs „Passwörter geknackt“, wie die BILD behauptet. Und auch auf wie viele Accounts überhaupt zugegriffen wurde, behält Evernote momentan für sich. BILD hat einfach mal die Gesamtzahl der Evernote-Nutzer eingesetzt, weil sich eine Millionenzahl immer gut macht. Inwieweit und ob überhaupt irgendwann einmal ein Entweder versuchen wird, ein mitgenommenes Passwort zu entschlüsseln, ist völlig offen. Der Aufwand bei dieser Art der Verschlüsselung scheint enorm zu sein und würde vor allem auch nichts mehr bringen, da jeder Evernote-Anwender momentan ja gezwungen ist, ein neues Passwort zu wählen.

Wer mehr über die technischen Hintergründe der Verschlüsselung erfahren möchte, dem sei der sachliche Artikel des bekannten Caschy-IT-Blogs empfohlen.

Hintergrund und Vertrauen in die Cloud

Laut Aussage eines Evernote-Mitarbeiters hat der Angriff Ähnlichkeiten mit jenen, die zur Zeit auf viele US-Firmen oder Zeitungen wie die News York Times ausgeübt werden, aber auch Thyssen Krupp und EADS vermeldeten ja ähnliche Fälle.

Der Vorfall hat in Foren und auf Twitter hitzige Diskussionen ausgelöst nach dem Motto: „Ich hab es ja schon immer gesagt! Keine Cloud!“ usw. Nun ja, wenn man einen Mail-Server nutzt, dann befindet sich die private Post samt Anhängen auch erstmal „in der Cloud“ und kann potentiell entwendet werden, oder? Wer so was also ganz vermeiden will, der muss wieder zu Papier und Feder greifen. Und ob meine heimische (USB-)Festplatte da wirklich besser geschützt ist mit ihrem 20-Euro-Anti-Viren-Programm, Blitzeinschlag, Wasserschaden und Viren-Scheunentoren wie Flash, Java oder PDF, sei mal dahingestellt.

Abgesehen davon: Niemand ist gezwungen, einen solchen Dienst zu nutzen. Einfach bleiben lassen, wenn man keine Lust dazu hat. Und wirklich wichtige Daten gesondert verschlüsseln. Ich bin da kein Spezialist für solche Fragen, aber bei 128- oder 256-Bit-Schlüsseln sind die Kosten für die Entschlüsselung wohl enorm.

Eine ganz andere Frage ist, ob solche Dienste alles tun, um den Schutz der Daten zu gewährleisten. Hier kann Evernote sicher noch mehr tun, da sollte das Unternehmen auch seine Prioritäten entsprechend setzen, vielleicht hilft dieser Vorfall ja, dass das geschieht.

Das könnte Dich auch interessieren...

18 Antworten

  1. Na endlich mal ein vernünftiger Kommentar zu dem Thema. In den Blogs und sozialen Netzwerken greift ja schon wieder die Hysterie derart um sich, das es nicht mehr schön ist.

  2. Tobi sagt:

    Natürlich wurde Evernote gehackt! Wenn man ohne einen Hack die Hashwerte der Passwörter, Emailadressen und Namen auslesen könnte, sollten die sich echt mal Gedanken machen. Und man kann aus den Hashwerten auch immer das Passwort konstruieren. Immer! Es dauert nur entsprechend lange. Aber wenn man den Hashwert für das Passwort einer berühmten Persönlichkeit hat, dann mietet man sich eben schnell bei Amazon entsprechende Rechnerleistung und schon hat man das Passwort innerhalb weniger Minuten.

    • Herby sagt:

      Und was möchtest Du uns jetzt damit sagen? Den Text des Blogposts hast Du schon gelesen – oder nur die Überschrift? 😉

      • Tobi sagt:

        natürlich der Text versucht die Sache etwas runterzureden als ob es nicht so schlimm ist, aber das ist es!
        Nirgendwo im Text wird erwähnt, dass Evernote da ziemlich versagt hat und es nicht schafft die Daten der Nutzer zu schützen, sondern es ist geschrieben, dass „nur auf drei Daten zugegriffen werden“ konnte.

        „Der Aufwand bei dieser Art der Verschlüsselung scheint enorm zu sein und würde vor allem auch nichts mehr bringen, da jeder Evernote-Anwender momentan ja gezwungen ist, ein neues Passwort zu wählen.“ Es gibt einige Nutzer, die den Dienst nicht so häufig den Dienst nutzen (vll einmal im Monat) und diese sind davon natürlich schon betroffen, auch gibt es einige Nutzer, die gleiche oder ähnliche Passwörter bei verschiedenen Diensten nutzen. Also kann sich das Ganze für einen Kriminellen schon rentieren

        • Herby sagt:

          Okay, das kann man einfach mal so stehen lassen als Meinungsäußerung. Da alle Medien, bis hin zur dpa-Meldung, nur die Infos aus dem Evernote-Blogpost haben, könnte ich jetzt nicht entscheiden, ob Evernote „versagt“ hat oder z. B. das dort erwähnte Blockieren zu einem sehr frühen Zeitpunkt eingesetzt hat oder ob nun 100, 20.000 oder 1,823 Millionen Accounts betroffen sind usw. usw.
          Jedenfalls ist verständlich, wenn Du unzufrieden bist.

  3. Ralf sagt:

    Der Aufwand für das Entschlüsseln lohnt sich schon, da viele Nutzer leichtsinnigerweise dieselbe Benutzername-Passwort-Kombination für mehrere Dienste nutzen.

  4. Chris sagt:

    <<Natürlich wurde Evernote gehackt! Wenn man ohne einen Hack die Hashwerte der Passwörter, Emailadressen und Namen auslesen könnte, sollten die sich echt mal Gedanken machen<<

    Bisher steht nur fest, dass das Ganze VERSUCHT worden ist. Ob und ggf. WAS gestohen wurde ist überhaupt nicht klar. Password ändern und das (evtl. gestohlene) alte Passwort von EN ist nutzlos.

    Wie oben gesagt, Notizen und Inhalte sind ÜBERHAUPT NICHT betroffen, was soll also die ganze Empörungsmaschinerie?

    • Tobi sagt:

      es geht doch nicht um meinen Account! Es gibt einige Menschen, die nichts von diesen Hack mitbekommen haben und nicht regelmäßig sind einloggen. Wenn jetzt von einen dieser Account die (verschlüsselten) Zugangsdaten erhascht werden, können doch die Notizen und Inhalte gelesen werden.

      • Frank sagt:

        >Wenn jetzt von einen dieser Account die (verschlüsselten) Zugangsdaten erhascht werden, >können doch die Notizen und Inhalte gelesen werden.

        Aber die Passwörter wurden doch zurückgesetzt, wie soll das dann gehen?

      • Nein, Evernote hat doch sämtliche Passwords zurückgesetzt. Mit dem alten, geklauten Password kommt man in seinen Account nicht mehr rein.

        • Chris sagt:

          Genau. EN hat alle Passwörter zurückgesetzt, d.h. man kommt mit dem alten Passwort NICHT mehr rein. Man muss also ein neues Passwort vergeben und gut is.
          Viel Lärm um nichts!

        • Ralf sagt:

          Genauer gesagt: Evernote erzwingt einen Passwortwechsel beim nächsten Login.
          Wenn der Angreifer bereits Passwörter entschlüsseln konnte und schneller als der reguläre Evernote-Nutzer ist, kann er den Account übernehmen. Daher sollte man sich mit der Änderung nicht zu viel Zeit lassen. Wer z.B. Urlaub hat und seine E-Mails nicht liest, hat unter Umständen Pech. Viel interessanter für den Angreifer ist aber das Ausprobieren der Zugangsdaten bei anderen Diensten wie E-Mail-Konten oder PayPal.

        • Tobi sagt:

          Nein. Erst wenn man sich einloggt, kann man ein neues Passwort setzten. Nichts wurde da zurückgesetzt. Wenn das Passwort einer entsprechenden Person gehackt wurde und nun sicher der Hacker vor dem Nutzer einloggt, hat er den Account.

  5. Lara sagt:

    Also ich benutze in etwa 10-15 Passwoerter, kategorisiert nach Nutzung und Bezug zum entsprechenden Dienst. Und trotzdem habe ich das Evernote Passwort auch bei anderen Diensten verwendet. Und ich denke, dass es viele Leute gibt, die nach wie vor nur um die drei Passwoerter haben. Ich finde schon, dass man „selber schuld“ sagen kann, aber es spricht doch nichts dagegen, das Ausmass so zu betrachten wie es ist: dramatisch. Ein Grossteil der Nutzer wird auch fuer laengere Zeit die Pwd nicht aendern und ist entsprechend gefaehrdet. Ich denke nicht, dass man das runterspielen sollte. Und den Vergleich von Cloud und Mailserver finde ich etwas unehrlich: Es stimmt zwar, dass auch ein Mailserver in der Cloud haengt, aber „frueher“ war es ja auch so, dass die Post regelmaessig runtergeladen wurde. Wenn es also einen Einbruch gab, so hat der nie auf einmal alle Daten gehabt. Das ist kein marginaler Unterschied. Ein Googlemail Konto auf dem noch Mails von vor 5 Jahren liegen ist fuer einen Hacker mehr wert als ein Konto mit 10 ungelesenen Mails. Ich kann ja verstehen, dass du Hysterie ablehnst, aber ich denke dennoch, dass dieser Fall sehr schoen zeigt, wo die neuen Gefahrenquellen liegen an Cloudbasierten Diensten liegen und die sollten wir ernstnehmen. Evernote haette sicherlich mehr machen koennen, man kann ja immer mehr machen. Aber die Moeglichkeit solcher Hacks (und ja, natuerlich war das ein Hack), ist bei Diensten, die vollstaendig im Netz haengen, grundsaetzlich gegeben und unterscheiden sich insofern von einem Einbruch durch meine Balkontuer unterscheidet.

    • Chris sagt:

      EN hat genau richtig reagiert. Man muss abwägen zwischen hysterischen Maßnahmen, die viele Nutzer beeinträchtigen würden, vielleicht die Sicherheit erhöhenwürden aber die hier nicht notwendig sind (s. oben, bis zum heutigen Tag hat kein einziger Nutzer Datenverlust beklagt) und einfachen Maßnahmen, die das Sicherheitsbedürfnis auch befriedigen und weniger vom Nutzer verlangen. Genau diesen „mittleren Weg“ ist EN gegangen.
      Wenn einer bei vielen Diensten immer nur EIN Passwort (oder wenige Paswörter) vergibt, kann man das nicht EN anlasten. Das ist einfach nur Faulheit/Bequemlichkeit von Seiten des Nutzers. Bequem UND sicher ist zwar wünschenswert aber im allgemeinen nicht erreichbar.
      Ein bisschen muss man sich auch von Nutzerseite Gedanken machen und (neben anderen Dingen) z. B. einen Password Manager einsetzen (KeePass, LastPass). Alles machbar.

  6. Ralf sagt:

    Heise: Rätselraten um Passwortsicherheit nach Evernote-Hack (http://heise.de/-1817987)

  1. 5. März 2013

    […] ein Sicherheitsproblem. Die schlechte Nachricht: es dauerte relativ lang bis alle Nutzer darüber informiert wurden das es […]