GnosticPlayers ataca Canva robando datos de 139 millones de usuarios

10 junio, 2019
19 Compartido 2,130 Visualizaciones

Cualquiera podría suponer, al igual que el consultor de TI Dave Hall, que el departamento de marketing de una empresa sabe que acaba de sufrir una filtración masiva de datos y, por lo tanto, al notificarla por primera vez a los usuarios, incluirá esta información o principio del mensaje dándole la importancia que realmente merece, no oculto tras un mensaje de notificación de novedades.

En la primera notificación del incidente enviada por Canva, la empresa con sede en Sydney detrás de la herramienta de diseño en línea del mismo nombre, hizo saber a los destinatarios que el viernes 24 de mayo de 2019, descubrió una filtración mientras aún estaba en curso. »Tan pronto como nos fue notificada, inmediatamente tomamos medidas para identificar y remediar el incidente y hemos informado de la situación a las autoridades (incluido el FBI). Lamentamos cualquier problema o inconveniente que esto pueda causar».

Es decir, Canva notificó a los usuarios que había descubierto una brecha… después de que les contara que disponen de aproximadamente 1 millón de nuevas imágenes gratuitas y una nueva herramienta para imprimir camisetas.

La filtración

Canva no menciona la cantidad de registros a los que se había accedido, pero dijo que involucraba los nombres de usuario y direcciones de correo electrónico, junto con las contraseñas que habían sido procesadas con Bcrypt: una función de hashing de contraseñas que se considera segura.

ZDNet tiene más detalles: el hacker informó a la publicación que obtuvieron datos de aproximadamente 139 millones de usuarios. Desde febrero de 2019, el (los) hacker (s), que utiliza el alias GnosticPlayers, han puesto a la venta en la Dark Web un total de 932 millones de datos de usuarios, robados a 33 compañías en todo el mundo, según ZDNet.

Más cosas robadas

GnosticPlayers dijo que el 24 de mayo, habían descargado todo hasta el 17 de mayo de 2019, y que Canva había detectado la filtración y cerrado su servidor de base de datos.

Además de los tipos de datos robados que Canva notificó a sus usuarios, la brecha también involucró nombres reales y, mientras estuvo disponible, información de la ciudad y el país de los clientes. También se robaron 61 millones de contraseñas hash.

Otro tipo de datos robados fueron tokens de Google, los tokens que permiten a los usuarios registrarse en el sitio sin establecer una contraseña. ZDNet informa que del total de 139 millones de usuarios afectados, 78 millones de ellos tenían direcciones de Gmail asociadas con su cuenta de Canva. La filtración incluyó detalles sobre algunos de los empleados y administradores del sitio, según  la fracción de 18.816 cuentas que el hacker compartió.

Canva declaró que las credenciales de los usuarios no habían sido comprometidas, por lo que les constaba, pero que por razones de seguridad, se recomienda a los usuarios restablecer sus contraseñas:

Almacenamos de forma segura todas nuestras contraseñas utilizando los estándares más altos (con salted y hashd individualmente con bcrypt) y no tenemos evidencia de que ninguna de las credenciales de nuestros usuarios haya sido comprometida. Como medida de seguridad, estamos animando a nuestra comunidad a cambiar sus contraseñas como medida de precaución.

Ciberdelincuentes atareados

GnosticPlayers estuvieron en los titulares en marzo de 2019, cuando los hackers pusieron 26 millones de registros en venta, robados de seis compañías en línea. Fue el primero de lo que se convertirían en cuatro cachés de datos que se pusieron a la venta a principios de febrero, cuando los GnosticPlayers intentaban vender una base de datos de 617 millones de registros robados a 16 empresas por 20.000$.

Días después, los GnosticPlayers agregaron 127 millones de registros robados de ocho sitios web, antes de agregar una tercera ronda el 17 de febrero, que comprende otros 93 millones de otros ocho sitios.

¿Qué hacer?

Los usuarios deben seguir los consejos de Canva y cambiar sus contraseñas lo antes posible. Desafortunadamente, Canva no ofrece 2FA o te hubiéramos recomendado que lo activaras.

Y si trabajas en un departamento de marketing, por favor, no incluya detalles importantes sobre una brecha de seguridad en los mensajes de marketing que podrían desviar la tención de los usuarios. Es difícil asumir los compromisos de las empresas de “proteger los datos y la privacidad de todos nuestros usuarios” y de “una comunicación abierta y transparente que ponga en primer lugar las necesidades de nuestras comunidades” cuando lo primero que un destinatario ve en un aviso de un incidente de seguridad es un discurso de marketing. .

La transparencia y el compromiso con la protección de datos significan priorizar la verdadera esencia del mensaje, no enterrarlo debajo de mensajes de marketing. Canva merece el crédito por solucionarlo con su segunda notificación, pero ¿quién sabe cuántos usuarios no leyeron sobre que sus datos estaban en peligro porque se cansaron al ver un anuncio de marketing?

Te podría interesar

Consejos para evitar los fraudes en las compras de Navidad
Actualidad
24 compartido1,232 visualizaciones
Actualidad
24 compartido1,232 visualizaciones

Consejos para evitar los fraudes en las compras de Navidad

Vicente Ramírez - 24 diciembre, 2018

Las compras de última hora son uno de los momentos favoritos de los ciberdelincuentes. Check Point explica cuáles son los…

La Policía detiene a 18 personas por distribuir de dinero falso comprado en la darknet
Actualidad
18 compartido2,122 visualizaciones
Actualidad
18 compartido2,122 visualizaciones

La Policía detiene a 18 personas por distribuir de dinero falso comprado en la darknet

Mónica Gallego - 24 diciembre, 2018

La Policía Nacional ha detenido a 18 personas por la distribución de dinero falso por todo el país adquirido en la darknet.…

La plataforma IoT española que quiere transformar el sector retail
IoT
269 visualizaciones
IoT
269 visualizaciones

La plataforma IoT española que quiere transformar el sector retail

Vicente Ramírez - 21 febrero, 2019

La startup española Geeksme está desarrollando cinco casos de uso para demostrar el potencial del ecosistema y favorecer el uso…

Deje un comentario

Su email no será publicado