Canva, la startup australiana responsable del popular servicio de diseño gráfico del mismo nombre, sufrió el mes pasado un ataque informático que afectó a 139 millones de sus usuarios. El asalto fue llevado a cabo por un hacker que utiliza el pseudónimo GnosticPlayers y fue el propio cibercriminal quien hizo público el incidente, a través de la web ZDNet. GnosticPlayers afirmó haber accedido a todos los datos de Canva hasta el 17 de mayo, momento en el que la empresa detectó la brecha y cerró el servidor de base de datos.
Los datos robados a Canva incluyen los nombres de usuario de los clientes, sus identidades reales, direcciones de correo electrónico e información sobre su ciudad y país de origen, así como si estaban en línea o no. No es el primer ataque de este perfil que este hacker ha realizado este año, se estima que desde febrero ha puesto a la venta en la dark web los datos de 932 millones de usuarios, conseguidos a raíz de medio centenar de empresas de todo el mundo.
Para otros usuarios de Canvas, la información robada incluía además tokens de Google, que los usuarios habían utilizado para registrarse en la plataforma sin necesidad de contraseña. Del total de 139 millones de usuarios, 78 millones tenían una dirección de Gmail asociada a su cuenta en la plataforma. El hacker envió a ZDNet muestras de los datos pirateados como prueba de la validez de sus afirmaciones.
Unos días después la empresa envió una carta a sus usuarios explicando que “los hackers obtuvieron las contraseñas en su forma cifrada (todas las contraseñas se procesaban y cifraban con bcrypt). Esto significa que nuestras contraseñas de usuario permanecen ilegibles para terceros”. Sin embargo, desde Canvas recomendaban como medida de precaución que cada usuario modificase su contraseña.
Empresa en expansión
Canva es una de las mayores empresas tecnológicas de Australia. Fundada en 2012, su sitio web se ha convertido en uno de los favoritos de particulares y grandes empresas, que a menudo lo utilizan para crear rápidamente sitios web, diseñar logotipos o crear materiales de marketing atractivos. En estos últimos años la web no ha dejado de subir en el ranking de tráfico que realiza el sitio web Alexa; recientemente ha entrado en el Top 200 y actualmente ocupa el puesto 170.
Hace tres días, la compañía anunciaba haber recaudado 70 millones de dólares adicionales en una ronda de financiación, situando su valor total en 2.500 millones de dólares. Canva también ha adquirido recientemente dos de los sitios de contenido gratuito más grandes del mundo: Pexels y Pixabay. Los datos de los usuarios de Pexels y Pixabay no estaban incluidos entre los datos robados por GnosticPlayers en este ataque. El hacker ha robado más de mil millones de credenciales de usuario, una meta que había anunciado en mensajes previos al mismo sitio de noticias ZDNet. De momento la cuenta exacta se sitúa en 1.070 millones de credenciales de 45 compañías.