Evernote的密码重置事件

昨天,根据Evernote官方博客的安全公告,其检测到了试图进入evernote安全服务领域的可疑操作,出于安全考虑,将要求差不多5000万的用户重置密码。

所谓安全服务领域到底具体是指什么zack没看到更多的解释,估计是泛指需要用户登录后才能使用的服务和功能。若是如此,Evernote检测到的可疑行为,应该是有人在尝试破解用户的帐号密码,尝试登录。

从其官方之后特别对密码是单向加密的解释来看,也能大概说明以上猜想可能是对的。因为密码是单向的,所以只好采用一些比较暴力的方式尝试破解,才会容易被检测到。

除了密码之外,其实更让人担心的是用户的个人信息。尽管Evernote官方说他们没有证据表明用户的一些关键信息和支付信息遭到泄露,但只是他们没有证据而已,并不能完全保证。因为有时候关键信息的泄露不一定是非要拿到明文的登录密码才行,这和业务系统在流程设计上是否有漏洞也相关。

最近连发的这些安全事件让人不得不想起之前PSN上大量用户的信用卡资料被窃取。这些事情都提醒我们,我们生活在一个其实很恐怖的时代,开放而不够安全的信息系统,从某个角度说是给了少数人窃取成千万人的机会。只要看看淘宝上有多少出售被盗取的美国信用卡(所谓的黑卡,黑点等),就能明白这个问题。

而且事实上,对于安全问题的认识和技术的掌握,那些“窃贼”们都要领先许多。