Ontwerpsite Canva vraagt gebruikers om een nieuw wachtwoord te kiezen na datalek

De Australische designtool Canva vraagt zijn gebruikers om een nieuw wachtwoord in te stellen nadat hackers toegang hebben gekregen tot persoonsgegevens. Bij het datalek is een aantal gebruikersnamen, mailadressen en versleutelde wachtwoorden buitgemaakt.

Canva, een online dienst waar gebruikers allerlei soorten documenten kunnen ontwerpen, maakte het datalek zelf bekend via zijn website en in een mail naar de gebruikers. Bij de inbraak, die afgelopen vrijdag werd ontdekt, hebben de aanvallers naast 'enkele' gebruikersnamen en mailadressen ook wachtwoorden in handen gekregen. Canva benadrukt echter dat deze wachtwoorden gehasht en salted zijn met bcrypt, wat voldoende bescherming zou bieden tegen decryptie door externe partijen. Niettemin adviseert de dienst gebruikers om hun wachtwoord te wijzigen en zo 'het zekere voor het onzekere te nemen'.

Er zijn volgens Canva geen indicaties dat de aanvallers ook toegang hebben gekregen tot de grafische ontwerpen van de gebruikers. Canva heeft naar eigen zeggen onmiddellijk de autoriteiten ingelicht, inclusief de FBI, en stappen ondernomen om de oorzaak van het datalek te identificeren en te verhelpen.

De online designtool heeft volgens de Australische nieuwssite CRN meer dan 130 miljoen gebruikers. Hoeveel mensen precies de dupe zijn van de hack is niet bekendgemaakt.

Canva

IT-banen

Reacties (8)

VirinR 27 mei 2019 10:10

Dit is de mail die ik vanochtend kreeg van Canva:

Hallo,

We schrijven je om je te laten weten dat we op vrijdag 24 mei 2019 een aanval op onze systemen hebben ontdekt. Zodra we op de hoogte werden gesteld, hebben we onmiddellijk stappen ondernomen om de oorzaak te identificeren en te verhelpen. We hebben we de situatie gemeld aan de autoriteiten (inclusief de FBI). Onze excuses voor ons eventuele bezorgdheid en het ongemak dat dit kan veroorzaken.

We zijn ons ervan bewust dat een aantal van de gebruikersnamen en e-mailadressen van onze community zijn benaderd. De hackers hebben ook wachtwoorden in hun gecodeerde vorm verkregen (voor technische mensen: alle wachtwoorden zijn “salted” en gehasht met bcrypt). Dit betekent dat onze gebruikerswachtwoorden onleesbaar blijven voor externe partijen.

Om het zekere voor het onzekere te nemen raden wij je toch aan uw Canva-wachtwoord te wijzigen op https://www.canva.com/account

We zullen verdere updates blijven plaatsen op: https://status.canva.com

Als je vragen hebt, kijk dan op deze FAQ-pagina: https://support.canva.com...4-security-incident-faqs/

Aarzel bij vragen ook niet om contact met ons op te nemen via contact@canva.com

Ons team werkt continue door om deze situatie zo snel mogelijk op te lossen en we waarderen je begrip.

Met vriendelijke groet,

Liz McKenzie
Hoofd Communicatie
Canva

Al met al is het erg netjes dat Canva dit snel oppakt en aangeeft hoe de wachtwoorden zijn opgeslagen.

[Reactie gewijzigd door VirinR op 22 juli 2024 17:19]

fommes @VirinR • 27 mei 2019 10:18

"We zijn ons ervan bewust dat een aantal van de gebruikersnamen en e-mailadressen van onze community zijn benaderd."

eeh ok.. ik lees hier toch wat anders:

https://www.zdnet.com/art...wAGaAIqqWyI2iKSqhq-QLkYH0

"Data for roughly 139 million users has been taken during the breach, according to the hacker, who tipped off ZDNet."

"ZDNet requested a sample of the hacked data, so we could verify the hacker's claims. We received a sample with the data of 18,816 accounts, including the account details for some of the site's staff and admins."

OmgItsKoen @fommes • 27 mei 2019 10:41

Snap op zich wel dat ze het mooi proberen te brengen, vind het vooral netjes dat ze wel aangeven 'voor de technische mensen' hoe ze de wachtwoorden hebben gesalt/encrypted. Hoe vaak zie je wel niet een lek waarbij de wachtwoorden met MD5 zijn 'versleuteld'.

Yariva Moderator internet & netwerken 27 mei 2019 10:02

Bcrypt is niet bepaald een slechte hash voor je wachtwoorden.. Netjes dat ze het melden.

TheVivaldi 27 mei 2019 13:41

Lekker begin van de week met 2 datalekken

(zowel dit lek als dit lek: https://www.nhnieuws.nl/n...d-door-tergooi-ziekenhuis)

Davy de Vries 27 mei 2019 11:07

Ik dacht dat het eerst om phishing/afpers-mail ging. Omdat de partij in kwestie mij niet bekend voor kwam. En de mail het woord “FBI” bevatten.. (ging het lampje niet echt branden)

Na wat speurwerk in mijn mailbox, ook nooit een mail gehad van deze partij. (Nog geen lampje dat ging branden)

Echter na wat rond te surfen op hun site kwam ik er achter dat ik hun app ooit heb gedownload en geprobeerd. (Echter via social ingelogd, zonder wachtwoord)

Kpomp33 27 mei 2019 20:28

Ik dacht eerst dat dit neppe mail was...…
Maar nu ik teruglees bij tweakers is het gewoon waar....
Maar de vraag is of het zin heeft om wachtwoord te wijzigen?
Het wachtwoord is daar versleuteld.....
Maar goed, er komt nog meer datalek en dat wordt komende tijd meer bekend gemaakt vrees ik.

Cybergamer @Kpomp33 • 28 mei 2019 09:07

Ik dacht ook dat die nep was, maar meer omdat de linkjes in de mail niet overeen komen met de daadwerkelijke Url's.

Toch fijn dat het in de media opgepikt is.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (8)

Sorteer op:

Weergave: