建議Canva用戶在數據洩露後更改密碼

了解到擁有數億用戶的在線服務已經發現自己處於網絡攻擊的接收端並不是一件好事。但是，關於違規數據的性質以及公司處理問題的方式的許多不同因素可以使相對可忽略的問題與完全災難之間產生差異。在線平面設計平台Canva週五遭遇數據洩露，至少從表面看來，事情看起來並不太糟糕。

Canva立即將違規行為公之於眾

Canva浪費時間將違規行為公之於眾。正如我們已經提到的那樣，黑客在5月24日遭到攻擊，不到24小時後，圖形設計服務已經設置了FAQ頁面 。乍一看，該披露似乎也非常詳細。

該公司表示，其IT團隊週五注意到了異常活動，經過短暫調查後發現有人正在訪問人們的電子郵件地址和用戶名。 Canva指出，攻擊者沒有竊取任何設計，並且人們的支付信息是安全的，因為它是由安全的支付處理器處理和存儲的。它還說它用bcrypt 哈希和鹽用戶密碼，這意味著儘管騙子設法抓住了哈希，但他們無法使用它們。不過，該公司表示，用戶應該考慮改變他們的密碼“作為預防措施”。

基於這一切，沒有多少Canva可以批評。然而，更詳細的分析表明，犯了一兩個錯誤。

據稱，Canva被臭名昭著的黑客襲擊

Canva確實在襲擊事件發生後幾小時就確實宣布了攻擊事件，但ZDNet的Catalin Cimpanu週五在遭到一名名為GnosticPlayers的黑客的抨擊後宣布了這一消息後遭到毆打。對於那些不知道的人，GnosticPlayers在過去幾個月裡一直在洩漏被盜的登錄憑據 。暱稱背後的人聲稱他們現在已經發布了超過10億條記錄，而這些記錄是他們從各種在線服務中單獨獲得的。

他們告訴ZDNet他們對Canva漏洞負責，並聲稱他們設法破壞了大約1.39億用戶的數據 - 這個數字在Canva自己的通知中缺失了。在收到樣本後，ZDNet確認GnosticPlayers確實擁有有效數據，這與Canva在其FAQ頁面上所說的相反，一些用戶的真實姓名和位置在攻擊期間也被洩露。

然而，Canva在處理事件時所犯的最大錯誤是它發送給受影響用戶的初始電子郵件。第一批消息開始於一段談論最近的收購，“一種新的瀏覽體驗”，以及其他與此無關的事情，而不是立即告訴人們他們需要知道和做的事情。用戶數據已被黑客訪問的事實. 直到第二段，Canva終於灑了豆子。

很多人可能會認為這是為了淡化攻擊。然而，更令人擔憂的是，營銷團隊的努力增加了許多用戶完全無法獲得所需信息的可能性。只要想想你從在線服務中收到的電子郵件數量，這些電子郵件就是在吹噓他們推出的新功能。現在試著記住你在勉強達到第二句後刪除了多少人。

在Twitter上收到一些當之無愧的批評後 ，Canva改變了電子郵件並刪除了不必要的毛病。

有限數量的暴露數據意味著受Canva漏洞影響的人沒有太多需要擔心的事情。話雖如此，Canva所犯的錯誤再次證明了這種事件的透明披露與為防止這種事件而採取的預防措施同樣重要。讓我們希望每個人都吸取了教訓。