Την Παρασκευή 24 Μαΐου, το online εργαλείο γραφικού σχεδιασμού Canva, υπέστη μαζική παραβίαση δεδομένων, με τα προσωπικά δεδομένα πάνω από 139 εκατομμυρίων εγγεγραμμένων χρηστών να έχουν κλαπεί.
Τα κλεμμένα δεδομένα περιλαμβάνουν ονόματα χρηστών, πραγματικά ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, πληροφορίες για την πόλη και τις χώρες των χρηστών κλπ. Το Canva μόλις εντόπισε την παραβίαση φρόντισε να ενημερώσει τους χρήστες του μέσω email, ενώ ισχυρίζεται ότι τα οικονομικά στοιχεία τους είναι ασφαλή. Η εταιρεία υποστηρίζει επίσης ότι οι κλεμμένοι κωδικοί πρόσβασης είναι κρυπτογραφημένοι και δεν μπορούν να διαβαστούν από εξωτερικούς παράγοντες.
61 από τα 139 εκατομμύρια χρήστες του εργαλείου, είχαν τους κωδικούς τους κρυπτογραφημένους με τον αλγόριθμο bcrypt, ο οποίος είναι αρκετά ασφαλής, σύμφωνα με το ZDNet. Επιπλέον, τα δεδομένα περιλάμβαναν Google tokens, με τα οποία οι χρήστες συνδέονταν στο Canva, χωρίς να χρησιμοποιούν λογαριασμό.
Συνολικά οι χρήστες των οποίων οι διευθύνσεις ηλεκτρονικού ταχυδρομείου Gmail εκτέθηκαν ανήλθε στα 78 εκατομμύρια.
Το Canva επιτρέπει στους χρήστες να συνδεθούν με το λογαριασμό τους στο Facebook και στο Gmail. Παρόλα αυτά η εταιρεία διαβεβαίωσε τους χρήστες ότι τα διαπιστευτήριά τους είναι επίσης κρυπτογραφημένα και δεν μπορούν να διαβαστούν από εξωτερικούς φορείς και δεν χρειάζεται να αλλάξουν τον κωδικό πρόσβασης στο Facebook ή το Gmail τους.
Το περιστατικό έχει αναφερθεί στις αρχές επιβολής του νόμου της Αυστραλίας καθώς και στο FBI.
Όπως έγινε γνωστό, ο hacker που φέρεται να είναι αναμειγμένος στην παραβίαση του Canva, γνωστός και ως GnosticPlayers, είναι το ίδιο άτομο πίσω από παραβιάσεις δεδομένων μεγάλης κλίμακας που πραγματοποιήθηκαν το Φεβρουάριο του τρέχοντος έτους. Σε αυτές τις παραβιάσεις εκατομμύρια δεδομένα των λογαριασμών που επηρεάστηκαν, πουλήθηκαν στη συνέχεια στο Dark Web και συγκεκριμένα στην αγορά Dream.
