Evernoteがユーザー情報に不正アクセスされ全ユーザーのパスワードがリセット
Day:2013.3.5 0:05 Comments: 4
Evernoteのサーバーに何物かが不正アクセスし、IDやパスワードなどの情報を抜き取った可能性があるとして、Evernote社は全ユーザーのパスワードのリセットを行った。
あれ?アクセス出来ないぞ?と思ったらそんなことがあったとは。
エバーノートに不正アクセス、情報盗まれた恐れ : 社会 : YOMIURI ONLINE(読売新聞)
対応は迅速かつ的確
Evernoteの対応は迅速かつ的確で、おそらくよく使っているユーザーはパスワードの変更が面倒なものの、Evernote側ができる対応としてはこれ以上ない物だと思う。
抜き取られたパスワードは暗号化されているため、そうそう復号化されることは無い。
その間に全ユーザーのパスワードを変更させておけば、被害は最小限に防げるというわけだ。
でもそれは全ユーザーが違うパスワードに変更してくれたら、という前提な訳であって、完全に被害が防げるわけではない。
問題1:パスワードを再設定しない可能性
最近使っていないユーザーがログインしてパスワードを変更せず放置し、かつ犯人がパスワードの複合化に成功した場合、不正アクセスされる場合がある。
そういうユーザーも結構多いと思うので、あ、最近使ってないけど個人情報やらなにやらが大量に眠っているという場合は問題あるね。
登録したメールアドレスやユーザー名を忘れてしまっている場合はログインできない。
Evernote側が不正アクセス後、1ヶ月以上ログインのないユーザーは凍結する等の手段を取るなど、その後の対応を待つしかない。
問題2:ユーザーが同じパスワードを指定してしまう可能性
ちょっと試してないんでわからないけど、現在のパスワードは絶対に使うことが出来ないという風にしないと、不正アクセスは防げないよね。
一度変更したのはいいものの、やっぱり前のパスワードのほうが覚えてるし、という人もいるしね。
つらっと戻しちゃう人がいないとも限らない。
ユーザーが不正アクセスされる可能性は?
とはいえ、暗号化されたパスワードを復号化するのも一苦労だし、一部の無料ユーザーが対象みたいだから、書くユーザーが不正アクセスされる可能性は低い。
とはいえ、インターネット上にデータを格納するわけだから自分が接続出来る以上、ユーザー名とパスワードが知られてしまえば誰でも接続出来るんだよね。
生体認証でも導入しない限り難しい。
データのクラウド化は非常に便利だけど、使う側もある程度危険を認識しながら使わなければならない。
大事なデータはクラウド上に格納しない
機密データなど、重要なデータは基本的にクラウドには格納しない。
これは当たり前のことなんだけど。
会社間で接続されたVPN接続されているならまだしも、外部サーバーに接続するなどもってのほか。
どうしても置きたいのなら、暗号化するなど自衛手段をとる。
便利は危険と隣り合わせ
手軽で便利なものは、悪意のある第三者に狙われやすい。
流出させて困るのは自分だけでは無いので、データの管理には細心の注意を払おう。
葛葉様
以前購入したのですが使い方がよくわからず早々とiPhoneからは外しておりました。よかったと言えばよかったのでしょうがーーー。
Webサイトのクリップが凄く便利なので多用してます。
結構便利ですよ。
パスワードの件ですが、以前と同一のものを設定しようとしたところ、エラーになりました。
evernote側でも懸念材料だと思ったのでしょう
失礼しました
おお、わざわざ確認していただいてありがとうございますヽ(´ー`)ノ
同じパスワードに設定できたら意味ないですもんねw