CaseDaSemana: Dados de 139 milhões de usuários do Canva são roubados por hacker
O Canva é um site famoso por oferecer ferramentas gratuitas de designer gráfico. O cibercriminoso que comandou o ataque não é desconhecido: desde fevereiro de 2019, GnosticPlayers colocou à venda na dark web os dados de 932 milhões de usuários, que foram roubados de 44 empresas ao redor do mundo.
Os dados roubados incluem nomes de usuário, nomes reais, endereços de e-mail e informações sobre a cidade e o país do usuário, quando disponíveis. GnosticPlayers ainda roubou a senha de 61 milhões de contas — a informação estava presente no banco de dados do Canva e era protegida por um algoritmo chamado bcrypt, considerado um dos mais seguros que existem.
Em outros casos, as informações roubadas incluíam tokens da Goolge, que foram usados por usuários que queriam se cadastrar no Canva sem definir sua senha. Ainda de acordo com o hacker, dos 139 milhões de usuários, 78 milhões tinham um endereço do Gmail associado à sua conta.
Para comprovar o ataque hacker, a GnosticPlayers disponibilizou uma amostra com os dados de 18.816 contas invadidas, incluindo informações de alguns funcionários e administradores do Canva.
O Canva confirmou a violação de segurança que permitiu o acesso a vários nomes de usuários e endereços de e-mail. “Armazenamos com segurança todas as nossas senhas usando o mais altos padrões (encriptografado em salt ou em hash com a bcrypt) e não temos evidência de comprometimento de nenhuma das credenciais de nossos usuários”, disse o porta-voz do Canva por e-mail. “Estamos sendo meticulosos e metódicos com nossos exames para entender todos os aspectos do incidente. Também contratamos peritos forenses para investigar o incidente”.
Por e-mail, a empresa está alertando os usuários que estavam registrados na plataforma pela conta do Google ou Facebook.
