Wer sich heute bei Evernote eingeloggt hat oder der Client die Synchronisierung verweigert, wird gemerkt haben, dass sein Passwort zurück gesetzt wurde. Mein Account war auch betroffen und da Evernote erst später eine Aufklärungs-Mail geschickt hatte, war es mir schleierhaft, warum ich mich nicht einloggen konnte. Der Grund dafür ist aber, dass Evernote Einbrüche in das eigene Netzwerk festgestellt hat und Angreifer Zugriff auf Nutzername und Passwort hatten.
Kein Datenverlust
Daten gingen nicht verloren und soweit ich das beurteilen kann haben die Angreifer auch keinen Zugriff auf die Notizen erlangen können. Die Passwörter werden bei Evernote verschlüsselt gespeichert, sprich in Hashes umgewandelt via Ein-Weg-Verschlüsselung. Trotzdem wurde diese Sicherheitsmaßnahme durchgeführt.
Was in die Cloud gehört und was nicht
Caschy klärt in seinem Kommentar zum Evernote Passwort Reset sehr gut auf. Viele wissen anscheinend nicht, dass es erst mal nicht so schlimm ist, dass die verschlüsselten Passwörter gestohlen wurden. Lediglich die E-Mail-Adressen könnten ein Problem durch gezieltes Phishing werden.
Ich bin ebenso wie Caschy der Meinung, dass sensible Daten nicht in die Cloud gehören und wenn dann bitte verschlüsselt. Vor allem das Basteln einer Passwort-Karte ist ein guter Hinweis. Denkt Euch einfach lustige Zahlen-Reihen aus und merkt oder makiert Euch für einen Dienst bspw. eine Route über die Password-Karte. So habt ihr sichere Passwörter und sie zugleich immer dabei.
Evernote hat richtig gehandelt
Auch wenn sich viele Nutzer wahrscheinlich aufgeregt und beschwert haben, ein systemweiter Passwort-Reset ist die richtige Reaktion auf ein Einbruch. Da bringt es auch nichts die Benutzer aufzufordern ihr Passwort zu ändern. Schließlich kann man ja dann nicht mehr sein Lieblingspasswort für alle Anwendungen benutzen.
Traurig, dass momentan so eine Hacker-Welle durch das Internet strömt und keiner das wirklich verhindern kann :(