建议Canva用户在数据泄露后更改密码
了解到拥有数亿用户的在线服务已经发现自己处于网络攻击的接收端并不是一件好事。但是,关于违规数据的性质以及公司处理问题的方式的许多不同因素可以使相对可忽略的问题与完全灾难之间产生差异。在线平面设计平台Canva周五遭遇数据泄露,至少从表面看来,事情看起来并不太糟糕。
Canva立即将违规行为公之于众
Canva浪费时间将违规行为公之于众。正如我们已经提到的那样,黑客在5月24日遭到攻击,不到24小时后,图形设计服务已经设置了FAQ页面 。乍一看,该披露似乎也非常详细。
该公司表示,其IT团队周五注意到了异常活动,经过短暂调查后发现有人正在访问人们的电子邮件地址和用户名。 Canva指出,攻击者没有窃取任何设计,并且人们的支付信息是安全的,因为它是由安全的支付处理器处理和存储的。它还说它用bcrypt 哈希和盐用户密码,这意味着尽管骗子设法抓住了哈希,但他们无法使用它们。不过,该公司表示,用户应该考虑改变他们的密码“作为预防措施”。
基于这一切,没有多少Canva可以批评。然而,更详细的分析表明,犯了一两个错误。
据称,Canva被臭名昭着的黑客袭击
Canva确实在袭击事件发生后几小时就确实宣布了攻击事件,但ZDNet的Catalin Cimpanu周五在遭到一名名为GnosticPlayers的黑客的抨击后宣布了这一消息后遭到殴打。对于那些不知道的人,GnosticPlayers在过去几个月里一直在泄漏被盗的登录凭据 。昵称背后的人声称他们现在已经发布了超过10亿条记录,而这些记录是他们从各种在线服务中单独获得的。
他们告诉ZDNet他们对Canva漏洞负责,并声称他们设法破坏了大约1.39亿用户的数据 - 这个数字在Canva自己的通知中缺失了。在收到样本后,ZDNet确认GnosticPlayers确实拥有有效数据,这与Canva在其FAQ页面上所说的相反,一些用户的真实姓名和位置在攻击期间也被泄露。
然而,Canva在处理事件时所犯的最大错误是它发送给受影响用户的初始电子邮件。第一批消息开始于一段谈论最近的收购,“一种新的浏览体验”,以及其他与此无关的事情,而不是立即告诉人们他们需要知道和做的事情。用户数据已被黑客访问的事实. 直到第二段,Canva终于洒了豆子。
很多人可能会认为这是为了淡化攻击。然而,更令人担忧的是,营销团队的努力增加了许多用户完全无法获得所需信息的可能性。只要想想你从在线服务中收到的电子邮件数量,这些电子邮件就是在吹嘘他们推出的新功能。现在试着记住你在勉强达到第二句后删除了多少人。
在Twitter上收到一些当之无愧的批评后 ,Canva改变了电子邮件并删除了不必要的毛病。
有限数量的暴露数据意味着受Canva漏洞影响的人没有太多需要担心的事情。话虽如此,Canva所犯的错误再次证明了这种事件的透明披露与为防止这种事件而采取的预防措施同样重要。让我们希望每个人都吸取了教训。