Canva ein in Sydney ansässiges Startup in Australien, das hinter dem gleichnamigen Grafikdesign-Dienst steht. Und dieses Unternehmen wurde gehackt, wobei 139 Millionen Nutzerdaten abgezogen wurden.
Anzeige
Das geht aus nachfolgendem Tweet hervor, in dem ein ZDNet-Autor auf den Hack und einen Artikel hinweist. ZDNet wurde durch den Hacker selbst informiert.
Exclusive: Australian tech unicorn Canva suffers security breach.
Hacker claims to have stolen the data of 139 million Canva users. Site is ranked #170 on Alexa.https://t.co/eHsIz5NCrd pic.twitter.com/lS0izg9dU4
— Catalin Cimpanu (@campuscodi) 24. Mai 2019
Canva ist zwar ein Startup, rankt aber auf Platz 170 bei Alexa, ist also ziemlich populär. Verantwortlich ist ein Hacker, der als GnosticPlayers online geht. Der Hacker hat seit Februar dieses Jahres Daten von 932 Millionen Nutzern, die er von 44 Unternehmen aus aller Welt gestohlen hat, im Dark Web zum Verkauf angeboten.
"Ich habe alles bis zum 17. Mai heruntergeladen", sagte der Hacker gegenüber ZDNet. "Sie haben meinen Verstoß entdeckt und ihren Datenbankserver geschlossen." Die gestohlenen Daten enthalten Details wie Kunden-Benutzernamen, echte Namen, E-Mail-Adressen und Stadt- und Landesinformationen, sofern verfügbar.
Anzeige
Für 61 Millionen Benutzer waren auch Passwort-Hashes in der Datenbank vorhanden. Die Passwörter wurden mit dem bcrypt-Algorithmus gehasht, der derzeit als einer der sichersten Algorithmen für das Hashing von Passwörtern gilt. Für andere Nutzer waren die gestohlenen Informationen Google-Token, mit denen sich die Nutzer ohne Passworteingabe für die Website angemeldet hatten. Von den insgesamt 139 Millionen Benutzern hatten 78 Millionen Benutzer eine Gmail-Adresse, die ihrem Canva-Konto zugeordnet war.
ZDnet hat mit Beispieldatensätzen, die der Hacker schickte, einzelne Nutzer kontaktiert. Diese bestätigten, dass es sich um ihre Daten handelt. ZDnet kontaktiertn auch die Administratoren der Website, und informierte sie über den Hack.
"Canva wurde heute auf einen Sicherheitsverstoß aufmerksam gemacht, der den Zugriff auf eine Reihe von Benutzernamen und E-Mail-Adressen ermöglicht", sagte ein Canva-Sprecher gegenüber ZDNet per E-Mail. "Wir speichern alle unsere Passwörter sicher nach den höchsten Standards (individuell gesalzen und mit bcrypt gehasht) und haben keine Beweise dafür, dass die Anmeldeinformationen unserer Benutzer gefährdet sind. Zum Schutz ermutigen wir unsere Community, ihre Passwörter vorsorglich zu ändern", sagte das Unternehmen. Das Unternehmen will mehr mitteilen, sobald mehr bekannt ist. Weitere Details finden sich bei ZDNet.
Ergänzung: Über Twitter bin ich darauf aufmerksam geworden, dass es wohl einen deutschen Text gibt.
[Breaking]
Canva decided to finally send a German version of the breach > 10:30 local time on Monday, May 27th #yawn #oldnewsThe good part: they get straight to topic = #learningcurve, and skipped the Marketing fluff. pic.twitter.com/MmfviwYz7p
— Angelika Lattner (@AngelikaLattner) 27. Mai 2019
Anzeige