Dados de 139 milhões de usuários do Canva são roubados por hacker

Os dados de 139 milhões de usuários do Canva foram roubados nesta quarta-feira (29) durante um ataque hacker. A informação foi divulgada pelo ZDNet depois que o hacker responsável pelo vazamento entrou em contato com a reportagem.

O Canva é um site famoso por oferecer ferramentas gratuitas de design gráfico. O cibercriminoso que comandou o ataque não é desconhecido: desde fevereiro deste ano, GnosticPlayers colocou à venda na dark web os dados de 932 milhões de usuários, que foram roubados de 44 empresas ao redor do mundo.

De acordo com o ZDNet, o hacker disse que a violação de segurança aconteceu no início da manhã. "Eu consegui baixar os dados até o dia 17 de maio, quando eles detectaram minha presença e fecharam seu servidor de banco de dados", contou.

Os dados roubados incluem nomes de usuário, nomes reais, endereços de e-mail e informações sobre a cidade e o país do usuário, quando disponíveis. GnosticPlayers ainda roubou a senha de 61 milhões de contas – a informação estava presente no banco de dados do Canva e era protegida por um algoritmo chamado bcrypt, considerado um dos mais seguros que existem.

Em outros casos, as informações roubadas incluíam tokens da Google, que foram usados por usuários que queriam se cadastrar no Canva sem definir uma senha. Ainda de acordo com o hacker, dos 139 milhões de usuários, 78 milhões tinham um endereço do Gmail associado à sua conta.

Para comprovar o ataque hacker, a GnosticPlayers disponibilizou uma amostra com os dados de 18.816 contas invadidas, incluindo informações de alguns funcionários e administradores do Canva.

Para o site ZDNet, o Canva confirmou a violação de segurança que permitiu o acesso a vários nomes de usuários e endereços de e-mail. "Armazenamos com segurança todas as nossas senhas usando os mais altos padrões (encriptografado em salt ou em hash com a bcrypt) e não temos evidência de comprometimento de nenhuma das credenciais de nossos usuários", disse um porta-voz do Canva por e-mail. "Continuaremos a nos comunicar com nossa comunidade à medida que aprendemos mais sobre a situação".

Procurado pelo Canaltech, o Canva disse que as equipes da empresa estão trabalhando 24 horas por dia para investigar o ataque. "Estamos sendo meticulosos e metódicos com nossos exames para entender todos os aspectos do incidente. Também contratamos peritos forenses para investigar o incidente".

A empresa ressaltou que, apesar do vazamento de senhas, elas permanecem ilegíveis para terceiros. Isso porque as credenciais eram criptogradas e suas chaves estão armazenadas em outro local. No entanto, a recomendação é para que os usuários alterem suas senhas de acesso.

O Canva diz que tomou conhecimento do problema de segurança apenas em 24 de maio. "Assim que fomos notificados, imediatamente tomamos medidas para identificar e remediar a causa e relatamos a situação às autoridades (incluindo o FBI)".

Por e-mail, o Canva está alertando usuários que estavam registrados na plataforma pela conta do Google ou Facebook. Veja um trecho da mensagem:

Um dos maiores sites do ramo na internet

O Canva é uma das maiores empresas de tecnologia da Austrália. Fundada em 2012, o site se tornou um dos favoritos entre usuários regulares e grandes empresas que costumam usá-lo para criar layouts rápidos, criar logotipos ou montar materiais de marketing atraentes.

Ainda nesta semana, o Canva anunciou que recebeu um aporte de US$ 70 milhões em uma rodada de investimentos e agora está avaliada em US$ 2,5 bilhões. A startup também adquiriu recentemente dois dos maiores sites de conteúdo livre do mundo – Pexels e Pixabay.

Com o ataque desta quarta-feira, os roubos de GnosticPlayers somam mais de um bilhão de credenciais de usuários – alcançar a quantidade era uma das metas do hacker, de acordo com o site ZDNet. Ao todo, foi vazado 1 bilhão de dados de 45 empresas.

Não é a primeira vez que o hacker GnosticPlayers aparece em uma matéria do Canaltech. Em fevereiro, contamos que ele vazou os dados pessoais de 93 milhões de usuários – na semana anterior, o hacker também havia exposto informações de outras 600 milhões de pessoas.

Mais recentemente, em março, GnosticPlayers chegou a oferecer 26 milhões de registros de usuários por US$ 5 mil em bitcoins.

Fonte: ZDNet