O Canva é um app on-line bem conhecida para o design visual de imagens e peças gráficas, como infográficos, apresentações e fotografias, que no último dia 24 de maio descobriu a presença de um atacante em seus sistemas e o posterior roubo de dados privados de 139 milhões usuários do serviço, disse o próprio atacante, apelidado de GnosticPlayers, ao portal de tecnologia ZDNet.
Os cibercriminosos por trás desse pseudônimo garantiram ao ZDNet que baixaram tudo até 17 de maio, até que descobriram sua presença e fecharam o servidor do banco de dados. Entre os dados vazados estão nomes de usuários, nomes reais, endereços de e-mail, além de informações sobre país e cidade. Além disso, senhas de cerca de 61 milhões de usuários também foram vazadas, apesar dessas senhas usarem para o hash o algoritmo bcrypt, que é considerado um dos mais seguros. Além disso, entre os dados vazados estão tokens do Google utilizados pelos usuários para se registrarem no Canva sem a necessidade de usar uma senha. Estima-se que aproximadamente 78 milhões de usuários que foram afetados pelo vazamento usavam uma conta do Gmail associada à conta do Canva.
De acordo com informações publicadas pelo serviço, as senhas, ao estarem hasheadas, mantêm a condição de ilegíveis por terceiros. Ainda segundo o Canva, aqueles usuários que usam contas do Google ou Facebook para acessar o app não precisam se preocupar, pois essas credenciais de acesso também são criptografadas e inacessíveis para leitura. Portanto, não será necessário que os usuários alterem suas senhas no Facebook ou no Google.
Em comunicado, o Canva também garantiu que não há indícios de que alguém tenha conseguido acessar uma conta. Por outro lado, o serviço garante que os dados de pagamento são confidenciais e todas as transações são feitas através de conexões criptografadas. Também asseguram que não mantêm informações financeiras ou de cartão de crédito no Canva.
Apesar de todos os mecanismos de segurança destacados pelo app, o Canva orienta que os usuários modifiquem suas senhas como forma de precaução. A recomendação também é válida para cada conta ou serviço no qual a mesma combinação de usuário/senha seja usada.
Sobre o GnosticPlayers
Deve-se destacar que esta não é a primeira vez que esses agentes maliciosos são responsáveis por um vazamento de informações. De fevereiro até hoje, o GnosticPlayers conseguiu roubar mais de um bilhão de credenciais de um total de 45 empresas em diferentes brechas - informações colocadas à venda na dark web. Em um artigo publicado em fevereiro deste ano pelo ZDNet, o cibercriminoso assegurou ao portal que sua intenção era vender mais de um milhão de registros e depois desaparecer.
