Canva, una startup con sede en Sydney que ofrece el servicio de diseño gráfico con el mismo nombre, fue hackeada, comprometiendo datos de más de 139 millones de usuarios.
El responsable es un grupo de piratas informáticos conocidos como GnosticPlayers. Desde febrero de este año, los hackers han puesto a la venta en la DeepWeb los datos de 932 millones de usuarios, que ha robado de 44 empresas en todo el mundo.
Ayer, el hacker contactó a ZDNet sobre su último ataque, que involucró a la compaña Canva, que según él, había violado pocas horas antes de la mañana del viernes.
«Descargo todo hasta el 27 de mayo. Ellos detectaron mi violación y cerraron su servidor de base de datos», dijo el hacker.
Entre la información robada se encuentran detalles sensibles, como nombres de usuarios, nombres reales, direcciones de correo electrónico, información de la ciudad y país.
Para 61 millones de usuarios, los hashes de contraseña también se encontraban presentes en la base de datos. Las contraseñas se combinaban con el algoritmo bcrypt, actualmente considerado como uno de los algoritmos de hashing de contraseñas más seguros.
Para otro usuarios, la información robada contenía tokens de Google, que los usuarios utilizaron para registrarse en el sitio sin necesidad de una contraseña.
Del total de 139 millones de usuarios, 78 millones tenían una dirección de Gmail asociada con su cuenta de Canva.
ZDNet solicitó una muestra de los datos robados, por lo que verificaron las afirmaciones de los piratas. Recibieron una muestra con los datos de 18,816 cuentas, incluyendo los detalles de la cuenta para algunos de los empleados y administradores del sitio.
Con esa información contactaron a los usuarios de Canva, quienes verificaron la validez de los datos recibidos. También se le solicitó a Canva una declaración oficial.
«Hoy, Canva tuvo conocimiento de una brecha de seguridad que permitió el acceso a varios nombres de usuarios y direcciones de correo electrónico», dijo un portavoz de Canva a ZDNet.
«Almacenamos de forma segura todas nuestras contraseñas utilizando los estándares más altos y no tenemos evidencia de que ninguna de las credenciales de nuestros usuarios haya sido comprometida. Como salvaguarda, alentamos a nuestra comunidades a cambiar sus contraseñas como una precaución», agregó.
Canva es una de las compañías de tecnología más grandes de Australia. Fundada en 2012, el sitio web se ha convertido en uno de los favoritos entre los usuarios habituales y grandes empresas.
Tres días antes, la compañía anunció que recaudó 70 millones de dólares en una ronda de financiamiento de la Serie D, y ahora está valorada en 2.5 mil millones de dólares. Canva también adquirió recientemente dos de los sitios de contenido de stock más grandes del mundo: Pexels y Pixabay.
Hoy, la versión en español de Canva envió correos electrónicos a sus usuarios informando sobre el ataque cibernético:
«Hola, Te escribimos para informarte que el pasado viernes 24 de mayo de 2019 identificamos un ataque en nuestros sistemas. En cuanto fuimos notificados, implementamos las medidas necesarias para identificar y solucionar las causas del mismo, e informamos sobre la situación a las autoridades (entre ellas, al FBI). Lamentamos mucho el inconveniente o la preocupación que esto pueda suponerte.
Sabemos que algunos nombres de usuario y direcciones de correo electrónico de nuestro servicio han sido vulnerados. Los atacantes también tuvieron acceso a las contraseñas cifradas (para los que entienden de cuestiones técnicas: a todas las contraseñas se les aplica un algoritmo hash y una sal criptográfica con bcrypt). Esto significa que las contraseñas de nuestros usuarios siguen siendo ilegibles para terceros. «
El correo está firmado por Liz McKenzie, directora de comunicación de Canva