Evernote-Forum gehackt – Passwörter und E-Mail-Adressen der Nutzer offengelegt

Evernote, eine App, mit der man Notizen sammeln und archivieren kann, hat bekannt gegeben, dass sein Diskussionsforum gehackt wurde und Passwörter, Geburtsdaten sowie E-Mail-Adressen von Nutzern kompromittiert wurden.

Gestern Nachmittag wurde der Angriff durch einen Beitrag eines Administrators des Evernote-Forums bekannt gegeben: „Der Betreiber der Seite https://discussion.evernote.com hat uns mitgeteilt, dass es einen Hacker-Angriff gegeben hat. Der Angreifer war in der Lage, die Profilinformationen unserer Forumsmitglieder zu erfassen. Wir glauben nicht, dass er auf private Nachrichten aus dem Forum zugegriffen hat.“

Das Unternehmen war bemüht, darauf hinzuweisen, dass nur Passwörter für das Forum von 2011 und früher abgefangen wurden und keine Passwörter für Evernote selbst. Die Notizen der Nutzer seien sicher. Sicherheitsexperte Graham Cluley merkt jedoch an, dass sich diejenigen Nutzer besonders angreifbar machen, die das Passwort für das Forum auch für andere Dienste nutzen.

Nutzer, die nach 2011 dem Evernote-Forum beigetreten sind, sollten ihre Passwörter nicht ändern müssen, weil das Unternehmen zu dem Zeitpunkt ein Passwortsystem für das Forum und die App eingeführt hat, bei dem die Passwortdaten scheinbar nicht an den Host des Forums gesendet wurden. Laut ZDNet sind im Evernote-Forum derzeit 164.644 Mitglieder registriert. Wie viele von ihnen vom Angriff betroffen sind, hat Evernote noch nicht bekanntgegeben.

Die betroffenen Nutzer wurden jedoch kontaktiert. In Posts bezüglich des Angriffs heißt es, dass die kompromittierten Passwörter gehasht – verschlüsselt – wurden, um ein grundlegendes Schutzniveau zu bieten.

Letzten Dienstag war Evernote Opfer eines Denial-of-Service-Angriffs (DOS), wodurch Nutzer nicht mehr auf ihre Konten zugreifen konnten. Bereits einen Tag später konnte der DOS-Angriff gestoppt werden und Evernote versicherte seinen Kunden, dass keine Konten gehackt wurden.

Bei einem großen Hack 2013 waren Eindringlinge in der Lage, die Benutzerpasswörter zurückzusetzen und auf alle persönlichen Daten zuzugreifen. Daraufhin hatte Evernote ein optionales Zwei-Faktor-Authentifizierungs-System eingeführt, bei dem Nutzer über ihr Smartphone einen Code erhalten, um ihre Identität zu verifizieren. Evernote hat derzeit mehr als 100 Millionen Nutzer.