Canva安全事件 - 5月24日 常见问题
事件状态更新
页面于美国东岸时间1月 17 日 10 点 21 分更新
2020年1月 11日,Canva掌握了大约 4百万个Canva帐户列表,其中包含 5月 24日违规事件中部分被盗的用户密码。密码已解密并在线共享。
因为可以使用原始密码来访问Canva帐户,因此我们立即回应以限制访问Canva登录,并着手使原始密码无效,并通知列表中使用未加密密码的用户。
我们所知道的
自恶意用户获得我们的加密密码数据的访问权限并将信息发布到网络上,已有 7 个月了。这段时间他们似乎一直在利用自己的资源来尝试破解这些密码。受 2019 年五月事件影响,大约 4 百万个 Canva 帐户现已解密其密码。
Canva在受攻击后采取了什么行动?
在过去的 7 个月里,我们发出了各种通讯,通知受影响的用户如何保护自己的帐户。如果你在此期间主动修改了Canva密码,则无需再次修改。
2020-01-12,我们重置所有自 2019-05-24 之后尚未修改密码的用户密码。这些用户下次登录Canva时需要更改其密码。因为我们正在强制重置密码,所以我们也直接通知最近主动重置其密码的Canva用户。
我们还会通知那些密码似乎已被解密的Canva用户,以便他们可以采取措施保护使用相同密码的其他帐户。
对受影响的用户来说意味着什么
受影响的用户将需要设置新密码才能继续使用Canva。请注意,重置你的密码并不意味着攻击者访问了你的帐户。我们正在采取这种预防措施来保护你的Canva帐户。
遵循我们此处的密码原则 。我们再次建议你:
- 使用字母组合(大写和小写、数字和特殊字符)创建难猜的密码。
- 使用密码管理器来管理所有网络密码。
- 确保使用以前从未在其他站点或帐户上使用过此安全密码。
具有有效电子邮件地址的用户能够使用常规的密码重置步骤恢复密码。没有有效电子邮件地址的用户需要使用手动恢复步骤 。
——
不便之处,敬请谅解。感谢你一直以来的支持与合作。
塞巴斯蒂安·威尔士
Canva安全主管
页面于美国东岸时间 8 月 10日 23:25 更新
我们的一些用户最近收到了hadibeenpwned.com(HIBP)和Firefox Monitor发送的关于2019年5月24日Canva安全漏洞的通知。你可以在这里了解有关黑客攻击和Canva应对措施的详细信息。
这些通知的内容是准确的,我们非常感谢HIBP和Firefox Monitor为Canva用户提供的服务。
对一些Canva用户来说,这个安全通知似乎令人惊讶。我们对此深表歉意。作为我们应对措施的一部分,我们在事件发生后立即通过邮件和应用内通知联系了受影响的用户。
收到HIBP的通知后,一些用户询问他们的密码是否被泄露。答案很简单——没有。黑客访问的是单独加盐并经过bcrypt哈希加密的密码。非技术用户可以这样理解,这就像一个超级安全的单向门,即使用最强大的计算机,也难以将您的密码转换回原始密码。
我们存储密码的方式使密码非常难以猜测,但这并非不可能,如果你使用了容易猜测的密码,例如密码1,123456!或Alex1997,密码会更容易被猜到。因此,为了保护用户在Canva和其他地方的安全,我们已经要求所有用户更改了Canva密码,以及与此密码相同的其他密码。为了帮助我们的所有用户避免这种风险,我们与1密码合作,为用户提供一年免费的密码管理器服务,同时还在Canva内应用了更有效的密码检查。
安全事件发生以来,我们进行了许多内部更改来保护您的数据。我们与领先的网络安全咨询公司Mandiant以及其他合作伙伴密切合作,确定了攻击的程度及原因,并对我们的系统进行了更改,以便为我们的用户提供额外的保护。我们将在适当的时候提供事件的事后调查,但与此同时,如果您有任何进一步的问题,或者想了解我们为确保您的数据安全而采取的措施的更多信息,请随时联系我们[email protected] 。
在与网络安全专家进行调查后,我们现在对此次攻击的影响有了更好的了解,并希望为我们的用户提供尽可能多的相关信息。
2019年5月24日周五,我们发现我们的系统遭遇恶意攻击,并及时阻止。我们的第一反应是锁定Canva,然后通知当局和用户Canva出现安全问题。由于入侵者在攻击中被中断,他们对大多数安全事件采取了不同的策略并发布了关于攻击的推文,这需要快速的沟通响应。
此后我们与网络安全专家和权威机构(如FBI)合作,以保护我们的用户,并及时在以下信息中更新进展。
黑客在攻击过程中做了什么?
- 他们从我们的个人资料数据库获得了多达1.39亿用户的信息。个人资料数据库包含用户名、姓名、电子邮件地址、国家/地区,以及用户选择提供的有关其所在城市和/或主页URL的数据,这些数据可通过其公开个人资料获得。
- 他们使用用户名/密码登录访问这些用户的加密保护密码(这些密码都单独已加盐,并经过bcrypt哈希加密)。
- 他们声称获得了通过Google登录的用户的OAuth登录令牌。我们的OAuth使用AES128进行加密,加密密钥安全的存储在其他位置。我们没有发现他们下载OAuth令牌或试图访问密钥的证据。
- 他们简单查看了部分关于信用卡和付款数据的文件。但没有证据证明这些文件被盗。文件包含2016年9月28日之前的部分信用卡数据(姓名、有效期、最后4位数、卡的品牌和开卡国家)以及2017年9月16日之前的付款记录,包括用户和投稿者的某些交易的金额、日期和ID。这些有限的信用卡信息不能被用于付款。Canva 从不存储完整的信用卡详细信息。
设计和图像安全地存储在不同的系统中。没有迹象表明有任何用户的设计或图像被访问。
Canva在受攻击后采取了什么行动?
我们继续在安全方面投入大量资金。调查完成后,我们打算发布事件的技术检验报告。但我们的首要任务是保护我们的用户。以下是我们采取的行动:
- 通知我们的用户: 我们希望用户知道他们受到了影响。我们通过电子邮件直接与用户联系,但有些用户的电子邮件详细信息未及时更新或有误,因此我们还使用了应用内通知和新闻来提醒用户注意此次安全事件。我们正在跟进我们的初始通知,并向每个用户发送单独的电子邮件,概述被访问的数据。
- 提示用户更改密码:我们已经要求所有在攻击前设置了密码的用户更改密码,并添加规则以帮助用户设置安全性更强的密码。
- 重置OAuth令牌:我们与合作伙伴协作,确保重置此次攻击前存在的所有活动登录令牌。系统将提示这些用户重新连接其 Canva 帐户。
- 与合作伙伴协作:我们正在与合作机构协作,共享有关攻击的信息,识别用户面临的风险并协调应对措施。例如,我们正在提醒主要提供商的电子邮件滥用团队,使攻击者难以用钓鱼邮件欺骗我们的用户。
- 与 1密码合作:虽然我们建议在不同网站使用不同密码,但我们知道这很难实现。我们与 1密码合作,为尚未使用其服务的Canva用户提供一年的免费服务。
Canva用户可以做什么?
- 更改您的密码: 如果您在 Canva 上设置过密码,但尚未更改过,我们建议所有人都更改 Canva 上的密码[https://www.canva.com/account/reset/]如果您在其他网站上也使用了相同的密码,您最好也更改一下密码。
- 举报可疑电子邮件: 为谨慎起见,我们建议所有人警惕可疑电子邮件。黑客经常使用各式独特的方法来欺骗您提交您的个人信息。若您收到任何您认为可疑的电子邮件,请不要点击它们,也不要回复。我们建议您向您的邮件供应商举报。
- 使用密码管理器:我们建议您使用密码管理器,比如 1密码或Google的Chrome浏览器,为您使用的每一个网站生成并记住独一无二的安全密码。
- 如果您断开了Google/Facebook的连接,请重新登录:如果您使用Facebook或Google登录Canva,我们很可能已经重置了您的登录。您只需再次登录即可找回您的Canva账户。
- 更新您的联系方式: 登录Canva后,请添加或更新您的联系信息,以便我们日后与您联系,通知您账户的相关信息。
最后
我们对此次事件的发生深表歉意。Canva的每个人都收到了这一通知,我们知道这对个人来说是多么令人不安。我们希望重建并重获您们的信任,并将为之而努力。
塞巴斯蒂安·威尔士
Canva安全主管