Canva es un sitio web de herramientas de diseño gráfico y composición de imágenes, fundado en 2012, que facilita tanto a profesionales como a usuarios sin conocimientos de diseño la creación de contenidos utilizando el formato de arrastrar y soltar y proporcionando acceso a más de un millón de fotografías, gráficos y fuentes. Canva es una herramienta online, accesible desde dispositivos con navegadores completos. El sitio web de Canva se ha convertido en uno de los favoritos para crear sitios web rápidos, diseñar logotipos o campañas de marketing llamativas, etc.

Una brecha de seguridad no revelada en los servidores de Canva fue aprovechada para copiar las bases de datos de la empresa. La autoría de estos hechos ha sido reclamada por un pirata informático bajo el nickname ‘GnosticPlayers’, quien asevera haberse hecho con los datos de un total de aproximadamente 139 millones de usuarios durante la intrusión.

Según declaraciones realizadas por el propio pirata a Catalin Cimpanu de ZDNet, la intrusión tuvo lugar el viernes 24 de mayo por la mañana y habría conseguido descargar datos desde el 17 de mayo antes de que la empresa detectase la violación de seguridad y reaccionase cortando el acceso al servidor de bases de datos.

Los datos robados incluirían información de caracter personal y privado como nombres de usuarios, nombres reales, direcciones de correo electrónico, e información de residencia entre otros. También se han obtenido los hashes de las contraseñas de casi 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt que es considerado actualmente como uno de los más seguros. Para otros usuarios, la información robada contendría los tokens de Google utilizados para registrarse en el sitio sin establecer una contraseña.

Además, ZDNet ha tenido acceso a una muestra de los datos robados (18.816 cuentas, incluyendo a empleados y administradores de Canva) para contrastar la información proporcionada por el autor de los hechos y corroborar la veracidad de los mismos. Según declaraciones de Canva la compañía fue informada de una violación de seguridad que permitía el acceso a varios nombres de usuario y direcciones de correo electrónico y ya estaban alentando a sus usuarios a cambiar sus contraseñas como medida de precaución.

Este no se presenta como un ataque aislado por parte de GnosticPlayers, quien, desde el pasado mes de febrero, ha puesto a la venta en la Deep Web datos pertenecientes a 932 millones de usuarios provenientes de 44 empresas de todo el mundo, obtenidos aprovechando brechas de seguridad. Por lo que se puede presumir que los datos obtenidos de Canva seguirán el mismo destino.

Recientemente Canva adquirió dos de los sitios de contenido de stock gratuito más grandes del mundo: Pexels y Pixabay, sin embargo los datos correspondientes a los usuarios de estos dos sitios no se habrían visto comprometidos.

En cualquier caso, desde Hispasec recomendamos cambiar la contraseña a los usuarios de Canva y, si se ha reutilizado la misma contraseña para otros sitios web o servicios online modificarla también en ellos y usar una contraseña diferente para cada sitio.

Más información:
Australian tech unicorn Canva suffers security breach
https://www.zdnet.com/article/australian-tech-unicorn-canva-suffers-security-breach/