A ESET alerta que a ferramenta online Canva, utilizada para o design visual de imagens e de peças gráficas, identificou a presença de um invasor em seus sistemas. No total, 139 milhões de usuários do serviço foram afetados pelo roubo de dados privados.
Os responsáveis pelo ataque ao Canva são apelidados de GnosticPlayers, que assumiram, ao portal Australiano ZDNet, a autoria do roubo. Os cibercriminosos declararam que o uso ilícito de informações aconteceu até 17 de maio, quando foram descobertos e o servidor de banco de dados foi fechado.
Entre os dados filtrados estão: nomes de usuários, endereços de e-mail, além de informações sobre países e cidades, e senhas de cerca de 61 milhões de usuários e tokens do Google usados pelos usuários para se registrarem no Canva. Estima-se que aproximadamente 78 milhões de pessoas afetadas pelo vazamento usaram uma conta do Gmail associada ao acesso do Canva.
Esta não é a primeira vez que esses agentes maliciosos são responsáveis por uma falha de segurança. De fevereiro até agora, o GnosticPlayers conseguiu roubar mais de um bilhão de credenciais de um total de 45 empresas, segundo a ESET. Essas informações são, muitas vezes, oferecidas para venda na deep web.
Por isso, a companhia diz que as empresas que hospedam os dados de seus clientes, bem como os usuários finais, devem implementar as medidas de segurança necessárias para proteger as informações e cuidar de seus dados pessoais.
A empresa Canva comunicou em seu site que as senhas, mesmo na função hash – que é a conversão de dados para uma sequência de caracteres utilizada para armazenamento de senhas com segurança – continuam indisponíveis para terceiros.
Segundo a ESET, o nível de segurança depende da complexidade com a qual a senha foi construída, algumas que são formadas por palavras curtas ou têm baixa complexidade podem ser facilmente descobertas. Por esse motivo, a recomendação é que os usuários modifiquem suas senhas. A dica é válida para qualquer conta ou serviço no qual a mesma combinação de nome de usuário/senha é usada.
O Canva garantiu que não há evidências de que alguém tenha conseguido acessar uma conta específica. A empresa afirmou que os dados relacionados aos pagamentos são confidenciais e que as transações são feitas por meio de conexões criptografadas.