Publicidade

Dados de 139 milhões de usuários do Canva são roubados por hacker

Por| 29 de Maio de 2019 às 16h23

Link copiado!

Reprodução
Reprodução

Os dados de 139 milhões de usuários do Canva foram roubados nesta quarta-feira (29) durante um ataque hacker. A informação foi divulgada pelo ZDNet depois que o hacker responsável pelo vazamento entrou em contato com a reportagem.

O Canva é um site famoso por oferecer ferramentas gratuitas de design gráfico. O cibercriminoso que comandou o ataque não é desconhecido: desde fevereiro deste ano, GnosticPlayers colocou à venda na dark web os dados de 932 milhões de usuários, que foram roubados de 44 empresas ao redor do mundo.

De acordo com o ZDNet, o hacker disse que a violação de segurança aconteceu no início da manhã. "Eu consegui baixar os dados até o dia 17 de maio, quando eles detectaram minha presença e fecharam seu servidor de banco de dados", contou.

Os dados roubados incluem nomes de usuário, nomes reais, endereços de e-mail e informações sobre a cidade e o país do usuário, quando disponíveis. GnosticPlayers ainda roubou a senha de 61 milhões de contas – a informação estava presente no banco de dados do Canva e era protegida por um algoritmo chamado bcrypt, considerado um dos mais seguros que existem.

Continua após a publicidade

Em outros casos, as informações roubadas incluíam tokens da Google, que foram usados por usuários que queriam se cadastrar no Canva sem definir uma senha. Ainda de acordo com o hacker, dos 139 milhões de usuários, 78 milhões tinham um endereço do Gmail associado à sua conta.

Para comprovar o ataque hacker, a GnosticPlayers disponibilizou uma amostra com os dados de 18.816 contas invadidas, incluindo informações de alguns funcionários e administradores do Canva.

Para o site ZDNet, o Canva confirmou a violação de segurança que permitiu o acesso a vários nomes de usuários e endereços de e-mail. "Armazenamos com segurança todas as nossas senhas usando os mais altos padrões (encriptografado em salt ou em hash com a bcrypt) e não temos evidência de comprometimento de nenhuma das credenciais de nossos usuários", disse um porta-voz do Canva por e-mail. "Continuaremos a nos comunicar com nossa comunidade à medida que aprendemos mais sobre a situação".

Continua após a publicidade

Procurado pelo Canaltech, o Canva disse que as equipes da empresa estão trabalhando 24 horas por dia para investigar o ataque. "Estamos sendo meticulosos e metódicos com nossos exames para entender todos os aspectos do incidente. Também contratamos peritos forenses para investigar o incidente".

A empresa ressaltou que, apesar do vazamento de senhas, elas permanecem ilegíveis para terceiros. Isso porque as credenciais eram criptogradas e suas chaves estão armazenadas em outro local. No entanto, a recomendação é para que os usuários alterem suas senhas de acesso.

O Canva diz que tomou conhecimento do problema de segurança apenas em 24 de maio. "Assim que fomos notificados, imediatamente tomamos medidas para identificar e remediar a causa e relatamos a situação às autoridades (incluindo o FBI)".

Por e-mail, o Canva está alertando usuários que estavam registrados na plataforma pela conta do Google ou Facebook. Veja um trecho da mensagem:

Continua após a publicidade

Um dos maiores sites do ramo na internet

O Canva é uma das maiores empresas de tecnologia da Austrália. Fundada em 2012, o site se tornou um dos favoritos entre usuários regulares e grandes empresas que costumam usá-lo para criar layouts rápidos, criar logotipos ou montar materiais de marketing atraentes.

Ainda nesta semana, o Canva anunciou que recebeu um aporte de US$ 70 milhões em uma rodada de investimentos e agora está avaliada em US$ 2,5 bilhões. A startup também adquiriu recentemente dois dos maiores sites de conteúdo livre do mundo – Pexels e Pixabay.

Continua após a publicidade

Com o ataque desta quarta-feira, os roubos de GnosticPlayers somam mais de um bilhão de credenciais de usuários – alcançar a quantidade era uma das metas do hacker, de acordo com o site ZDNet. Ao todo, foi vazado 1 bilhão de dados de 45 empresas.

Não é a primeira vez que o hacker GnosticPlayers aparece em uma matéria do Canaltech. Em fevereiro, contamos que ele vazou os dados pessoais de 93 milhões de usuários – na semana anterior, o hacker também havia exposto informações de outras 600 milhões de pessoas.

Mais recentemente, em março, GnosticPlayers chegou a oferecer 26 milhões de registros de usuários por US$ 5 mil em bitcoins.

Fonte: ZDNet