50 miljoen gebruikers van notitiesoftware Evernote moeten hun wachtwoorden wijzigen nadat het bedrijf verdachte activiteiten op het netwerk ontdekte, maar details blijven achterwege. De maker van de in 2008 gelanceerde software zegt dat het vermoedelijk een 'gecoördineerde poging' ontdekte om toegang tot beveiligde gedeelten van de Evernote Service te krijgen.

Uit voorzorg werd vervolgens besloten van alle 50 miljoen gebruikers hun wachtwoord te wijzigen. Verder onderzoek liet zien dat er geen bewijs is dat informatie die mensen in Evernote bewaren is benaderd, aangepast of verdwenen. Ook zou er geen betaalinformatie van klanten zijn buitgemaakt.

Wel zouden gebruikersnamen, e-mailadressen en versleutelde wachtwoorden zijn gestolen. Daarbij probeert Evernote gebruikers gerust te stellen dat de wachtwoorden gehasht en gesalt zijn. Wat voor hashing-algoritme werd gebruikt laat het bedrijf niet weten. Zo zijn met MD5 gehashte wachtwoorden eenvoudiger te kraken dan wachtwoorden die met SHA1 gehasht zijn.

Salting
Door het gebruik van een salt wordt het lastiger voor aanvallers om standaard rainbow-tabellen in te zetten. Hierbij gebruiken aanvallers vooraf berekende hashwaardes van allerlei woorden. Vervolgens hoeft de hashwaarde van de gehackte database alleen in de rainbow-tabel worden opgezocht om het bijbehorende wachtwoord te achterhalen.

Een salt zorgt ervoor dat een aanvaller een aparte rainbow-tabel moet aanleggen. Door de rekenkracht van moderne videokaarten is het echter mogelijk om miljoen hashes per seconde te berekenen. Bij de meeste hacks weten de aanvallers ook de salt te achterhalen. Nu zijn er verschillende implementaties van salting mogelijk, maar wederom blijven details achterwege.

Informatie
De voornaamste vraag is echter hoe de aanvallers toegang tot het Evernote-netwerk wisten te krijgen. Daar wordt niets over verteld. De waarschuwing van Evernote is er één in een lange reeks van gehackte bedrijven die wel waarschuwen, maar kritieke informatie niet delen.

Onlangs gaf beveiligingsbedrijf Bit9, dat vorig jaar zelf werd gehackt, nog allerlei details over de aanval vrij. Het deed dit bewust zodat anderen ook van de informatie konden leren en zichzelf konden beschermen.

"Je kunt er zeker van zijn dat onze vijanden inlichtingen delen, in informatie handelen en elkaar gebruiken om effectiever te worden. Wij als verdedigers zouden hetzelfde moeten doen", aldus Bit9 CTO Harry Sverdlove.