Canva bola napadnutá hackermi

Canva je bezplatná webová platforma určená na tvorbu grafického materiálu, ktorá bola založená v roku 2012. Hlavným cieľom je aby bola prístupná pre všetkých, bez potreby grafických programov. Užívatelia môžu pracovať s databázou fotografií a ľahko modifikovateľných predlôh, ktoré môžu upravovať.

Dobrý deň,

V piatok 24. mája 2019 sme zistili škodlivý útok na naše systémy, ktorý sme zastavili, keď prebiehal. Náš tím eliminoval útočníka z našich systémov a nahlásil útok príslušným orgánom (vrátane FBI). Odvtedy sme nepretržite spolupracovali s expertmi v oblasti kyberbezpečnosti na manažmente rizík, ktorým bola vystavená naša komunita. Je nám nesmierne ľúto, že došlo k tejto udalosti.

Po vyšetrení tohto incidentu vieme viac o tom, aký mal dosah na našich používateľov. Útočník sa mohol dostať k vašej e-mailovej adrese, identifikátoru Canva ID, používateľskému menu, menu, kryptograficky chránenému heslu, údaju o krajine a (ak ste tieto údaje pridali do svojho verejného profilu) údaju o meste a URL adrese webovej stránky. Pre technicky zbehlejších ľudí: do všetkých hesiel bola jednotlivo pridaná kryptografická soľ a na hešovanie sa použil bcrypt, čo je osvedčený odvetvový postup. Je dôležité uviesť, že získanie prístupu k všetkým týmto informáciám sa netýkalo všetkých používateľov.

V rámci svojho vyšetrovania sme zistili, že útočník si mohol zobraziť aj niektoré historické údaje o platbách. Nemáme žiadne dôkazy o tom, že tieto údaje boli stiahnuté, ale chceli sme vám poskytnúť čo najviac informácií o kontexte.

V prípade ľudí, ako ste vy, ktorí pridali svoju kreditnú kartu pred 28. septembrom 2016, mohli byť zobrazenéčiastkové údaje o kreditnej karte (Canva ID, posledné 4 číslice čísla kreditnej karty, dátum vypršania, značka a krajina karty). Tento obmedzený súbor údajov o karte sa nedá použiť na platby. Canva nikdy neukladá úplné údaje o kreditnej karte.

Mohli byť zobrazené aj údaje histórie platieb (sumy transakcií v dolároch, dátumy a ID pre niektoré nákupy uskutočnené na Canve) za niektoré nákupy uskutočnené pred 16. septembrom 2017.


​​​​​​Čo by ste mali urobiť:

1. Zmeniť si heslo: Ak máte na Canve heslo a ešte ste to neurobili – každému odporúčame zmeniť si heslo na Canve. https://www.canva.com/account/reset/ A ak ste rovnaké heslo použili aj na iných lokalitách, mali by ste si ho zmeniť aj tam.
2. Nahlásiť podozrivé e-maily: V rámci prevencie vyzývame všetkých, aby si dávali pozor na podozrivé e-maily. Útočníci často používajú kreatívne metódy, pomocou ktorých vás chcú podvodne primať k tomu, aby ste poskytli svoje osobné údaje. Ak dostanete akékoľvek e-maily, ktoré sú podľa vás podozrivé, tak na ne neklikajte ani neodpovedajte. Odporúčame vám upozorniť na ne vášho poskytovateľa e-mailovej služby.

Tu si môžete si prečítať naše Najčastejšie otázky o tomto incidente (vrátane ďalších podrobností): https://support.canva.com/contact/customer-support/may-24-security-incident-faqs/

Môžete nás tiež kedykoľvek kontaktovať na e-mailovej adrese contact@canva.com.

Ďakujeme za vaše pochopenie v priebehu tohto incidentu.

Sebastian Welsh 
Vedúci pre zabezpečenie, Canva