GnosticPlayers ataca Canva robando datos de 139 millones de usuarios

¿Es cierto que la mayoría de las personas solo leen las primeras cuatro líneas de un correo electrónico, como sugiere este usuario de Twitter?

Si es así, cualquiera podría suponer, al igual que el consultor de TI Dave Hall, que el departamento de marketing de una empresa sabe que acaba de sufrir una filtración masiva de datos y, por lo tanto, al notificarla por primera vez a los usuarios, incluirá esta información o principio del mensaje dándole la importancia que realmente merece, no oculto tras un mensaje de notificación de novedades.

En la primera notificación del incidente enviada por Canva, la empresa con sede en Sydney detrás de la herramienta de diseño en línea del mismo nombre, hizo saber a los destinatarios que el viernes 24 de mayo de 2019, descubrió una filtración mientras aún estaba en curso.

Tan pronto como nos fue notificada, inmediatamente tomamos medidas para identificar y remediar el incidente y hemos informado de la situación a las autoridades (incluido el FBI). Lamentamos cualquier problema o inconveniente que esto pueda causar.

Es decir, Canva notificó a los usuarios que había descubierto una brecha… después de que les contara que disponen de aproximadamente 1 millón de nuevas imágenes gratuitas y una nueva herramienta para imprimir camisetas.

Hey @lizmckenzie and the @canva team this is not how you start an email telling your customers you've been breached… twitter.com/i/web/status/1…—
Dave Hall (@skwashd) May 25, 2019

Se envió otro aviso más tarde ese mismo día, en el que ya no aparecía lo que Hall llamó “basura de marketing”.

La filtración

Canva no menciona la cantidad de registros a los que se había accedido, pero dijo que involucraba los nombres de usuario y direcciones de correo electrónico, junto con las contraseñas que habían sido procesadas con Bcrypt: una función de hashing de contraseñas que se considera segura.

Esto significa que nuestras contraseñas de usuario siguen siendo ilegibles para terceros.

ZDNet tiene más detalles: el hacker informó a la publicación que obtuvieron datos de aproximadamente 139 millones de usuarios. Desde febrero de 2019, el (los) hacker (s), que utiliza el alias GnosticPlayers, ha (n) puesto a la venta en la Dark Web un total de 932 millones de datos de usuarios, robados a 33 compañías en todo el mundo, según ZDNet.

Más cosas robadas

GnosticPlayers dijo que el 24 de mayo, habían descargado todo hasta el 17 de mayo de 2019, y que Canva había detectado la filtración y cerrado su servidor de base de datos.

Además de los tipos de datos robados que Canva notificó a sus usuarios, la brecha también involucró nombres reales y, mientras estuvo disponible, información de la ciudad y el país de los clientes. También se robaron 61 millones de contraseñas hash.

Otro tipo de datos robados fueron tokens de Google, los tokens que permiten a los usuarios registrarse en el sitio sin establecer una contraseña. ZDNet informa que del total de 139 millones de usuarios afectados, 78 millones de ellos tenían direcciones de Gmail asociadas con su cuenta de Canva. La filtración incluyó detalles sobre algunos de los empleados y administradores del sitio, según  la fracción de 18.816 cuentas que el hacker compartió.

Canva declaró que las credenciales de los usuarios no habían sido comprometidas, por lo que les constaba, pero que por razones de seguridad, se recomienda a los usuarios restablecer sus contraseñas:

Almacenamos de forma segura todas nuestras contraseñas utilizando los estándares más altos (con salted y hashd individualmente con bcrypt) y no tenemos evidencia de que ninguna de las credenciales de nuestros usuarios haya sido comprometida. Como medida de seguridad, estamos animando a nuestra comunidad a cambiar sus contraseñas como medida de precaución.

Ciberdelincuentes atareados

GnosticPlayers estuvieron en los titulares en marzo de 2019, cuando los hackers pusieron 26 millones de registros en venta, robados de seis compañías en línea. Como informamos entonces, fue el primero de lo que se convertirían en cuatro cachés de datos que se pusieron a la venta a principios de febrero, cuando los GnosticPlayers intentaban vender una base de datos de 617 millones de registros robados a 16 empresas por 20.000$.

Días después, los GnosticPlayers agregaron 127 millones de registros robados de ocho sitios web, antes de agregar una tercera ronda el 17 de febrero, que comprende otros 93 millones de otros ocho sitios.

¿Qué hacer?

Los usuarios deben seguir los consejos de Canva y cambiar sus contraseñas lo antes posible. Desafortunadamente, Canva no ofrece 2FA o te hubiéramos recomendado que lo activaras.

Y si trabajas en un departamento de marketing, por favor, no incluya detalles importantes sobre una brecha de seguridad en los mensajes de marketing que podrían desviar la tención de los usuarios. Es difícil asumir los compromisos de las empresas de “proteger los datos y la privacidad de todos nuestros usuarios” y de “una comunicación abierta y transparente que ponga en primer lugar las necesidades de nuestras comunidades” cuando lo primero que un destinatario ve en un aviso de un incidente de seguridad es un discurso de marketing. .

La transparencia y el compromiso con la protección de datos significan priorizar la verdadera esencia del mensaje, no enterrarlo debajo de mensajes de marketing. Canva merece el crédito por solucionarlo con su segunda notificación, pero ¿quién sabe cuántos usuarios no leyeron sobre que sus datos estaban en peligro porque se cansaron al ver un anuncio de marketing?

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: