В феврале-марте 2019 года хакер (или группа лиц), сказывающийся под псевдонимом GnosticPlayers, выставил на продажу на торговой площадке Dream Market данные 863 млн пользователей. Дампы появились не сразу, а были разбиты на четыре отдельных «лота» (1, 2, 3, 4) и суммарно в них вошла информация о пользователях и клиентах 38 компаний. А в апреле GnosticPlayers вернулся с пятым «сборником» пользовательских данных, выставив на продажу данные еще 65,5 млн человек, утекшие у шести различных компаний.
Издание ZDNet сообщает, что после непродолжительного молчания хакер возобновил активность, и на этот раз сообщил о взломе австралийского сервиса графического дизайна Canva, входящего в Top-200 сайтов по версии Alexa.
По словам GnosticPlayers, он скомпрометировал Canva в конце прошлой недели, успел загрузить информацию вплоть до 17 мая 2019 года, а затем его присутствие было обнаружено, и брешь, через которую он проник в систему, закрыли. Тем не менее, хакеру удалось похитить данные 139 000 000 человек.
Среди похищенной информации были имена пользователей, ФИО, адреса электронной почты, а также данные о городе и стране проживания (если указаны). Кроме того, в базе были представлены хеши паролей для 61 млн пользователей, защищенные bcrypt, а также встречались токены Google, использовавшиеся для входа на сайт без пароля.
Журналисты ZDNet получили от взломщика «образец» БД: данные о 18 816 учетных записях, включая информацию об аккаунтах некоторых сотрудников и администраторов сайта. Эти данные помогли изданию установить достоверность дампа.
Представители ZDNet связались с сотрудниками Canva, уведомив их о случившемся, и запросили комментарий. В компании сообщили, что хранят все пароли пользователей, используя самые высокие стандарты (индивидуально посоленные и хэшированные с помощью bcrypt), а также не видят никаких признаков того, что какие-либо учетные данные пользователей были скомпрометированы. Тем не менее Canva проводит тщательное расследование инцидента и рекомендует пользователям сменить пароли в качестве меры предосторожности.
Между тем, после компрометации Canva на счету GnosticPlayers будет уже 45 взломанных компаний и более миллиарда похищенных данных о пользователях.