A segurança da informação em plataformas de design baseadas em nuvem volta a ser o centro das discussões após a circulação de informações sobre um suposto vazamento de dados massivo envolvendo o Canva.
Relatos indicam que um conjunto de dados contendo aproximadamente 900.000 registros de usuários foi exposto, incluindo informações sensíveis que variam de hashes de senhas a tokens de provedores de autenticação externa.
Este incidente, se confirmado em sua totalidade, representa um desafio significativo para a infraestrutura de defesa da companhia, que já enfrentou incidentes de segurança cibernética no passado.
A exposição de dados em tal escala não apenas compromete a privacidade individual, mas também fornece material valioso para agentes de ameaças em campanhas de engenharia social e ataques de preenchimento de credenciais.
Os registros supostamente expostos contêm uma combinação crítica de identificadores técnicos e comportamentais.
Entre os dados listados, destacam-se as senhas protegidas pelo algoritmo Bcrypt, informações de provedores OAuth e dados granulares sobre o uso da plataforma de design.
O uso do Bcrypt é, certamente, uma prática recomendada no setor, dado que o algoritmo é projetado para ser computacionalmente dispendioso, dificultando ataques de força bruta.
No entanto, a eficácia dessa proteção depende diretamente do “custo” configurado no hash e da complexidade das senhas originais dos usuários.
Se o conjunto de dados estiver de fato nas mãos de cibercriminosos, a tentativa de quebra desses hashes torna-se apenas uma questão de tempo e recursos computacionais para as contas mais vulneráveis.
A Complexidade da autenticação via OAuth e riscos de Infraestrutura
A presença de dados de provedores OAuth na lista de vazamentos adiciona uma camada adicional de preocupação para os analistas de segurança.
O OAuth é o padrão amplamente utilizado que permite aos usuários acessarem o Canva utilizando suas contas do Google, Facebook ou Apple sem compartilhar suas senhas primárias.
Quando esses dados são comprometidos, o risco de sequestro de sessão ou de acesso não autorizado a aplicações interconectadas aumenta exponencialmente.
Certamente, o comprometimento de tokens de autenticação pode permitir que invasores mantenham persistência em contas de usuários, mesmo que estes alterem suas senhas em outros serviços, caso os tokens não sejam revogados prontamente pela infraestrutura de TI da plataforma afetada.
Historicamente, o Canva já esteve sob os holofotes da segurança digital em 2019, quando um ataque expôs dados de cerca de 139 milhões de usuários.
Naquela ocasião, a empresa demonstrou resiliência ao migrar protocolos e reforçar seus perímetros de defesa.
Porém, a recorrência de alegações de novos vazamentos sugere que o vetor de ataque pode ter evoluído para explorar vulnerabilidades em APIs ou em bases de dados de terceiros integradas ao ecossistema da plataforma.
