Naudojate „Canva“ – pasikeiskite prisijungimo duomenis, juos pavogė
Australijos kompanija Canva, vystanti populiarią (taip pat ir Lietuvoje) grafikos dizaino programą, praneša, kad prieš keletą dienų programišiai įsilaužė į jos duomenų bazę ir pavogė vartotojų vardus, e. pašto adresus bei slaptažodžius.
Bendrovė teigia, kad nežiūrint į tai, jog piktavalių pasisavinti slaptažodžiai yra užkoduoti kriptografiniais algoritmais, naudotojai raginami pasikeisti prisijungimo duomenis.
Turint galvoje, kad Canva yra viena iš populiariausių pasaulyje vaizdo grafikos redagavimo programėlių, naudojama ir Lietuvoje, būtina atkreipti dėmesį į įsilaužimo incidentą. Mažiausiai, ką naudotojai gali šiuo metu padaryti, tai pasikeisti prisijungimo duomenis. Juolab kad kompanija, ragindama naudotojus reaguoti į incidentą, leidžia suprasti, kad ji nėra iki galo įsitikinusi dėl pavogtų duomenų saugumo, sako Justinas Valentukevičius, kibernetinio saugumo bendrovės Sophos atstovas Baltijos šalyse.
Canva tai 2012 m. Australijoje gimęs Interneto ir debesų kompiuterijos pagrindais veikiantis grafinio dizaino įrankis, turintis didelę nuotraukų ir dizaino pavyzdžių duomenų bazę, leidžiančią kurti iliustracijas greitai ir nemokamai. Šiandien Canva jau yra didelė įmonė, o jos produktas vienas populiariausių tokio tipo įrankių pasaulyje.
nuotrauka::1
Canva nenurodo, kiek vartotojų duomenų atsirado piktavalių rankose, tačiau, siekdama išvengti didelio skandalo, ramina naudotojus ir tikina, kad slaptažodžių šifravimui buvo naudojama itin saugi bcrypt maišos funkcija (angl. hash function).
Bet p. Valentukevičius pastebi, kad ši maišos funkcija gana seniai egzistuoja, todėl yra piktavalių sukauptos didelės slaptažodžių ir jų maišos atitikmenų duomenų bazės.
Daugelis šiuolaikinių kompanijų lygiagrečiai naudoja kelias technologijas. Daugelis saugumo ekspertų rekomenduoja maišos funkcijų ir šifravimo algoritmų derinimą: vartotojo slaptažodis pirmiausia yra šifruojamas, panaudojant modernų algoritmą, o gautai skaitmenai sukuriama ją atitinkanti maiša, kuri leidžia sutaupyti vietos diske ir efektyviau atlikti slaptažodžių verifikavimą tapatybės nustatymo metu. , aiškina ekspertas.
Turint galvoje, kad tarp pavogtų duomenų yra ir naudotojų e. pašto adresai, o e. paštas statistiškai yra dažniausiai naudojamas kanalas skleisti virtualius užkratus, piktavaliai išties pasidarbavo iš peties ir nevalia nuvertinti jų galimybių išnaudoti pavogtus duomenis kibernetiniams nusikaltimams vykdyti, komentuoja J. Valentukevičius.
Rašyti komentarą