Włamania do Fliboarda i Canvy, wyciekły dane setek milionów użytkowników

Maciej Olanicki, 29.05.2019 r.

Złośliwy powiedziałby, że tydzień bez dużego wycieku danych z popularnej usługi internetowej jest tygodniem straconym. W ostatnim czasie informowaliśmy o skrzętnie skrywanym przez trzy lata włamaniu na serwery TeamViewera, mętnie zresztą wyjaśnionym. Tym razem do zmiany haseł zachęcamy użytkowników popularnego wieloplatformowego agregatora treści, Fliboarda oraz edytora grafiki, Canvy.

Warto przy tej okazji na moment zastanowić się nad skalą i częstotliwością podobnych przypadków. Wszak w twierdzeniu, że co tydzień mamy do czynienia z ujawnieniem włamania i kradzieży danych milionów użytkowników nie ma wiele przesady. Czy zatem to administratorzy coraz bardziej niefrasobliwie poczynają sobie w zakresie ochrony danych, winny jest obniżający się próg wejścia do branży? A może to rosnąca liczba usług i ich użytkowników przyczyniła się do powstania efektu skali?

Niewykluczone, że z recepcją wycieków danych z popularnych usług jest trochę tak, jak ze starszymi osobami, które na podstawie telewizyjnych doniesień o tragediach dochodzą do wniosku, że „kiedyś tak nie było”. Było, bywało i gorzej, lecz po prostu się o tym nie dowiadywały. Możliwe, że podobnie my wcześniej nie byliśmy świadomi skali katastrof, jakie są ujawniane niemal każdego tygodnia. Zmieniło się to po wejściu w życie ogólnego rozporządzenia o ochronie danych osobowych, które wymusza na administratorach raportowanie wszelkich incydentów.

Dość dywagacji, przejdźmy do konkretów. W oficjalnym komunikacie na temat włamania, administracja Fliboarda przyznaje, że infrastruktura usługi była penetrowana przez atakujących przez… niemal 10 miesięcy. Od 2 czerwca 2018 roku do 23 marca 2019 roku oraz ponownie, pomiędzy 21 i 22 kwietnia 2019 roku. Przez ten czas uzyskano dostęp do nazw użytkowników, adresów mailowych, tokenów umożliwiający autoryzację w zewnętrznych serwisach i zaszyfrowanych (SHA-1) haseł.

Zobacz też: Wiadomo więcej o włamaniu do Stack Overflow, jednak doszło do wycieku danych

Jak wiele danych wyciekło? Administracja stwierdza tylko, że dotyczy to „nie wszystkich” użytkowników. Z serwisu korzysta co miesiąc około 150 mln osób. Oczywiście wdrożono już standardowe procedury – do ofiar wycieku trafiły stosowne maile, ich hasła zostały zresetowane. Jak dotąd nie stwierdzono, aby wspomniane tokeny zostały użyte do włamań w innych serwisach, niemniej także zostały one zresetowane.

To nie jedyny przypadek dużego wycieku, jaki miał miejsce w ciągu ostatnich kilku dni – do włamania doszło także na serwery usługi Canva – prostego przeglądarkowego edytora grafiki. Włamywacze uzyskali dostęp do danych 139 mln użytkowników łącznie z nazwami użytkowników, adresami mailowymi i zaszyfrowanymi hasłami (posolony hash bcrypt). Administracja zaleca wszystkim użytkownikom Canvy reset haseł.