澳大利亚科技独角兽Canva疑遭受大规模数据泄露

ZDNet近期了解到，Canva，一家总部位于悉尼的著名平面设计公司，疑似出现大规模用户数据泄露。

根据某个黑客的说法，他从Canva非法窃取了大约1.39亿用户的数据。

这名黑客的网络称呼是GnosticPlayers，一个臭名昭著的数据窃取者。自今年2月以来，他/她/他们已经在暗网上出售了9.32亿用户的数据，全球44家公司都被他偷走了数据。

黑客行动就在刚刚

就在最近，这位黑客主动联系了ZDNet，谈论了他最新的黑客攻击，主角是澳大利亚科技独角兽Canva，他说他早些时候攻陷了Canva。

“我下载了截止到5月17日的所有数据”，该黑客表示：“随后，他们发现了我的存在，并关闭了数据库服务器”。

被盗的数据包括客户用户名，真实姓名，电子邮件地址以及所在的城市和国家/地区信息等详细信息。

有6100万用户的密码哈希也存储在该数据库中，Canva使用bcrypt算法对其进行了处理，目前被认为是最安全的密码哈希算法之一。

而对于其他用户，被盗的敏感信息包括谷歌token，方便用户在不设置密码的情况下注册网站。

在可能受影响的1.39亿用户中，有7800万用户都有一个与Canva帐户相关联的Gmail地址。

ZDNet要求黑客提供数据样本，以便我们正式黑客的声明。不久后，我们收到了一份包含18816个帐户数据的样本，其中包括该网站部分员工和管理员的帐户详细信息。

我们使用此信息与Canva的用户进行了联系，最终验证了我们收到的数据的有效性。我们还联系了网站的管理员，告知他们存在网络攻击，并要求他们对外做出正式声明。

Canva的发言人通过电子邮件告诉ZDNet：“Canva如今已意识到安全漏洞带来的影响，很多用户名和电子邮件都被泄露了出去”。

“我们使用最高的安全标准存储所有的密码（使用bcrypt配合salt），目前没有任何证据表明我们任何用户的登录凭证已被泄露。但作为预防措施，我们鼓励所有客户修改密码”。

“随着情况的不断变化，我们将继续与客户沟通。”

互联网最大的网站之一

Canva是澳大利亚最大的科技公司之一，成立于2012年，客户群体从普通个人到巨头公司，它能帮助任何人或公司团体快速建立网站，设计徽标或提供营销方案。

自公司成立以来，该网站在Alexa网站流量排名一直高居不下，并在最近进入了前200名，目前排名第170位。

三天前，该公司宣布在D轮融资中筹集了7000万美元，现在公司市值高达25亿美元。Canva最近还收购了世界上最大的两个免费股票新闻网站—— Pexels和Pixabay。不过，此次数据泄露并不涉及这两个网站的用户。

包括这次黑客行动，GnosticPlayers现在已经窃取了超过10亿用户的登录凭证，这同时也是这位黑客在之前的采访中告诉ZDNet的“目标”。现在，他的手中有来自45家公司的数量达十多亿的登录凭证。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/australian-tech-unicorn-canva-suffers-security-breach/