澳大利亚科技独角兽Canva疑遭受大规模数据泄露
ZDNet近期了解到,Canva,一家总部位于悉尼的著名平面设计公司,疑似出现大规模用户数据泄露。
根据某个黑客的说法,他从Canva非法窃取了大约1.39亿用户的数据。
这名黑客的网络称呼是GnosticPlayers,一个臭名昭著的数据窃取者。自今年2月以来,他/她/他们已经在暗网上出售了9.32亿用户的数据,全球44家公司都被他偷走了数据。
黑客行动就在刚刚
就在最近,这位黑客主动联系了ZDNet,谈论了他最新的黑客攻击,主角是澳大利亚科技独角兽Canva,他说他早些时候攻陷了Canva。
“我下载了截止到5月17日的所有数据”,该黑客表示:“随后,他们发现了我的存在,并关闭了数据库服务器”。
被盗的数据包括客户用户名,真实姓名,电子邮件地址以及所在的城市和国家/地区信息等详细信息。
有6100万用户的密码哈希也存储在该数据库中,Canva使用bcrypt算法对其进行了处理,目前被认为是最安全的密码哈希算法之一。
而对于其他用户,被盗的敏感信息包括谷歌token,方便用户在不设置密码的情况下注册网站。
在可能受影响的1.39亿用户中,有7800万用户都有一个与Canva帐户相关联的Gmail地址。
ZDNet要求黑客提供数据样本,以便我们正式黑客的声明。不久后,我们收到了一份包含18816个帐户数据的样本,其中包括该网站部分员工和管理员的帐户详细信息。
我们使用此信息与Canva的用户进行了联系,最终验证了我们收到的数据的有效性。我们还联系了网站的管理员,告知他们存在网络攻击,并要求他们对外做出正式声明。
Canva的发言人通过电子邮件告诉ZDNet:“Canva如今已意识到安全漏洞带来的影响,很多用户名和电子邮件都被泄露了出去”。
“我们使用最高的安全标准存储所有的密码(使用bcrypt配合salt),目前没有任何证据表明我们任何用户的登录凭证已被泄露。但作为预防措施,我们鼓励所有客户修改密码”。
“随着情况的不断变化,我们将继续与客户沟通。”
互联网最大的网站之一
Canva是澳大利亚最大的科技公司之一,成立于2012年,客户群体从普通个人到巨头公司,它能帮助任何人或公司团体快速建立网站,设计徽标或提供营销方案。
自公司成立以来,该网站在Alexa网站流量排名一直高居不下,并在最近进入了前200名,目前排名第170位。
三天前,该公司宣布在D轮融资中筹集了7000万美元,现在公司市值高达25亿美元。Canva最近还收购了世界上最大的两个免费股票新闻网站—— Pexels和Pixabay。不过,此次数据泄露并不涉及这两个网站的用户。
包括这次黑客行动,GnosticPlayers现在已经窃取了超过10亿用户的登录凭证,这同时也是这位黑客在之前的采访中告诉ZDNet的“目标”。现在,他的手中有来自45家公司的数量达十多亿的登录凭证。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/australian-tech-unicorn-canva-suffers-security-breach/
最新评论