Résumé

  • Canva a déclaré avoir détecté et stoppé une attaque malveillante le 24 mai 2019, et que l’attaquant a accédé aux informations de sa base de données de profils de jusqu’à 139 millions d’utilisateurs, y compris des mots de passe protégés cryptographiquement pour certains utilisateurs.
  • La question centrale de responsabilité est la suivante: qui contrôlait concrètement la minimisation des données de compte, la protection des hachages de mots de passe, la notification aux espaces de travail d’équipe, la télémétrie des API et des connexions, les flux de réinitialisation des utilisateurs, et la preuve que les fichiers de conception ou les données de paiement étaient hors champ?
  • Les registres publics de brèche ont maintenu l’incident actif en décrivant un corpus de 137 millions d’abonnés avec des noms, des noms d’utilisateur, des adresses e-mail, des lieux et des mots de passe hachés en bcrypt pour les utilisateurs ne recourant pas à la connexion sociale.
  • La charge de travail des clients ne se limitait pas à un lien de réinitialisation. Les utilisateurs, administrateurs, écoles, agences, spécialistes du marketing et petites entreprises devaient décider si un compte de plateforme de conception devait être traité comme un actif identitaire sérieux.
  • Le dossier confirme une conclusion de responsabilité avec une confiance élevée concernant les obligations de contrôle des comptes et les lacunes de preuves. Il ne permet pas d’inventer des faits privés sur chaque étape de l’attaquant, chaque locataire, chaque fichier de conception, chaque enregistrement de paiement ou chaque événement d’abus en aval.

Registre de preuves et son utilisation

Cet article considère les registres publics comme des preuves stratifiées plutôt que comme un récit complet unique. Les registres de l’entreprise sont utilisés pour ce que Canva a déclaré publiquement. Les index publics de violations, les avis universitaires, les reportages technologiques australiens, les pages de confiance de l’entreprise, les documents de confidentialité, les orientations des régulateurs et les normes de sécurité sont utilisés pour cadrer la chronologie, les obligations de contrôle et les implications pour les parties concernées.

L’analyse ne traite pas les reportages secondaires comme une preuve de faits privés que le registre public ne montre pas.

NuméroRegistre publicUtilisation dans cette analyse
1FAQ sur l'incident de sécurité Canva du 24 maiRegistre principal de l’entreprise utilisé pour la date de détection, l’accès à la base de données de profils, la protection des mots de passe, l’action de réinitialisation et les limites déclarées autour de l’incident.
2Entrée de violation Canva sur Have I Been PwnedIndex public de violations utilisé pour le corpus de brèche ultérieur, les catégories de données affectées et le contexte des mots de passe des comptes.
3Avis de violation Canva de l'Université de MiamiAvis client institutionnel utilisé pour la mise à jour de la réinitialisation des mots de passe de janvier 2020 et la charge de travail des utilisateurs du campus.
4Rapport d’ARNnet sur la cyberattaque de CanvaReportage technologique australien utilisé pour les conseils de changement de mot de passe contemporains et les catégories de données utilisateur.
5Rapport de l’Australian Financial Review sur les critiques de CanvaReportage secondaire faisant autorité utilisé pour le contexte de la réponse publique et de la qualité de l’avis.
6Rapport d’iTnews sur les ressources de sécurité de CanvaReportage australien ultérieur utilisé pour le contexte de l’impact exécutif et des ressources de sécurité post-incident.
7Page de sécurité de CanvaPage de sécurité actuelle de l’entreprise utilisée pour le contexte du chiffrement, des fonctionnalités de sécurité et de la confiance produit.
8Centre de confiance de CanvaPage de confiance actuelle de l’entreprise utilisée pour le contexte de la confidentialité, de la sécurité, de l’éducation, du juridique et de l’assurance achats.
9Mesures techniques et organisationnelles de CanvaDéclaration de contrôle de l’entreprise utilisée pour la rétention, la qualité des données et les garanties organisationnelles.
10Politique de confidentialité de CanvaRegistre de confidentialité actuel utilisé pour les données de compte, le contenu utilisateur, les droits de confidentialité et le contexte d’utilisation mondiale des données.
11Guide des rôles et permissions de CanvaGuide de l’entreprise utilisé pour les rôles d’espace de travail d’équipe, les tâches d’administrateur et le contexte de gouvernance des comptes partagés.
12Page de sécurité, protection des données et SSO de CanvaPage produit de l’entreprise utilisée pour les contrôles entreprise, l’authentification unique (SSO), l’authentification à deux facteurs, la visibilité d’équipe et le contexte de gestion des accès.
13Aperçu des Notifiable Data Breaches de l’OAICGuide du régulateur australien utilisé pour le contexte de notification de violation et de préjudice grave.
14Guide de préparation et de réponse aux violations de données de l’OAICGuide du régulateur australien utilisé pour le contexte de confinement, d’évaluation, de notification, d’examen et de planification de la réponse aux violations.
15Cadre de cybersécurité du NISTVocabulaire de contrôle pour les obligations d’identification, de protection, de détection, de réponse, de récupération, de gouvernance et de mesure.
16Guide d’identité numérique NIST SP 800-63BGuide d’identité numérique utilisé pour le contexte de contrôle des vérificateurs de mots de passe et de l’authentification des comptes.
17OWASP Password Storage Cheat SheetGuide de stockage des mots de passe utilisé pour les hachages salés, les facteurs de travail, le risque de cassage des hachages de mots de passe et les obligations de réinitialisation.
18Guide de lutte contre l’hameçonnage de la CISAGuide gouvernemental utilisé pour l’hameçonnage post-violation, les e-mails ciblés et le risque de récolte d’identifiants.

Le cadre de responsabilité est plus étroit que le blâme et plus large que le vol de compte

Canva a fait des comptes de conception collaborative un test de responsabilité en matière de notification de violation parce que l’incident n’était pas seulement une histoire de base de données. La propre FAQ de Canva indique que l’entreprise a détecté une attaque malveillante le 24 mai 2019, l’a stoppée pendant qu’elle se produisait, a verrouillé le service, puis a déterminé que l’attaquant avait accédé aux informations de la base de données de profils concernant jusqu’à 139 millions d’utilisateurs. Le même document d’entreprise indique que des mots de passe protégés cryptographiquement ont été consultés pour certains utilisateurs.

Have I Been Pwned a décrit plus tard un corpus de violation de 137 millions d’abonnés contenant des adresses e-mail, des noms d’utilisateur, des noms, des localisations géographiques et des mots de passe hachés en bcrypt pour les utilisateurs n’ayant pas utilisé la connexion sociale. Ce registre public place l’événement directement dans la couche des comptes d’une plateforme de collaboration mondiale.

Le blâme est trop grossier pour ce dossier. La question de responsabilité n’est pas seulement de savoir qui a attaqué Canva. C’est de savoir qui pouvait réduire les dommages avant, pendant et après l’attaque. Canva contrôlait la base de données de profils, la minimisation des données de compte, la conception des hachages de mots de passe, la télémétrie des connexions, l’avis d’incident, le flux de réinitialisation et l’explication destinée aux clients. Les utilisateurs contrôlaient la réutilisation des mots de passe et le fait de suivre ou non les conseils de réinitialisation.

Les administrateurs d’équipe contrôlaient l’examen des membres locaux, le nettoyage des rôles et la politique d’identité là où ces contrôles existaient. Les écoles, les agences et les petites entreprises contrôlaient leur propre formation des utilisateurs, mais elles ne pouvaient pas voir les preuves sous-jacentes de la violation de Canva.

Cette distinction est importante parce qu’un compte de conception semble souvent moins sensible qu’un compte bancaire ou de santé. En pratique, le compte peut contenir une identité personnelle, une identité professionnelle, des actifs de marque, des dossiers partagés, des plans de campagne, des projets étudiants, des liens d’invitation et des relations d’administrateur. L’attaque sur la couche des comptes est donc devenue un test pour savoir si un service créatif cloud pouvait expliquer le risque en des termes que les utilisateurs occasionnels et les administrateurs puissent tous deux utiliser.

Ce que le registre public établit

Le registre public établit un incident concret, une réponse et un ensemble de questions de preuve non résolues. La FAQ de Canva indique que l’entreprise a détecté une attaque le 24 mai 2019, a verrouillé Canva, a examiné ce que l’attaquant avait fait et a communiqué avec les utilisateurs. Elle indique que des informations de la base de données de profils ont été consultées pour jusqu’à 139 millions d’utilisateurs et que des mots de passe protégés cryptographiquement ont été consultés pour certains utilisateurs.

Elle indique également que le 12 janvier 2020, Canva a réinitialisé les mots de passe des utilisateurs qui n’avaient pas changé leur mot de passe Canva depuis l’incident, après avoir appris que certains mots de passe avaient été déchiffrés et partagés en ligne.

Les registres publics de violation et les avis aux clients ajoutent d’autres couches. Have I Been Pwned répertorie la violation de Canva comme concernant 137 millions d’abonnés et identifie les catégories de données exposées, notamment les adresses e-mail, les localisations géographiques, les noms, les mots de passe et les noms d’utilisateur.

L’avis des services informatiques de l’Université de Miami a informé les utilisateurs du campus que la violation avait touché environ 139 millions de détenteurs de comptes Canva et que Canva avait pris conscience en janvier 2020 qu’environ 4 millions de mots de passe de comptes avaient été déchiffrés par les attaquants. La couverture technologique australienne a rapporté des conseils contemporains de changement de mot de passe et la réaction du public à la communication de Canva sur la violation.

Des reportages australiens ultérieurs ont décrit l’incident comme ayant un impact durable sur la direction et comme un moteur de l’augmentation continue des ressources de sécurité.

Ces éléments suffisent pour analyser les obligations. Ils ne suffisent pas pour inventer des faits privés. Le dossier ne montre pas le chemin technique exact d’entrée, chaque table consultée, chaque événement de connexion, chaque espace de travail d’équipe touché, chaque résultat de cassage de mot de passe, chaque tentative de prise de contrôle de compte ou chaque message d’hameçonnage en aval. L’analyse utile sépare donc les déclarations publiques confirmées des questions opérationnelles auxquelles les utilisateurs concernés ne pouvaient pas répondre seuls.

L’objet de confiance était le compte autour du travail créatif

L’objet de confiance dans ce cas était le compte Canva englobant le travail créatif. Ce compte paraissait léger pour de nombreux utilisateurs parce que Canva est facile à adopter et commence souvent comme un outil gratuit ou à faible friction. Mais le même compte peut entourer des campagnes professionnelles, du matériel pédagogique, des brouillons de clients, des kits de marque, de la sensibilisation à but non lucratif, des publications sur les réseaux sociaux, des présentations, des invitations et des dossiers partagés. Pour un freelance, le compte peut faire partie d’un flux de travail de livraison client.

Pour une école, il peut faire partie de l’activité des élèves et des enseignants. Pour une équipe marketing, il peut s’agir d’un lieu où le contrôle de la marque et le calendrier des campagnes se rencontrent. Pour une petite entreprise, il peut contenir la capacité pratique de continuer à publier.

Cet objet de confiance modifie la manière dont la violation doit être interprétée. Si une base de données de profils est copiée, les catégories immédiates peuvent être les noms, les e-mails, les noms d’utilisateur, les localisations et les hachages de mots de passe. La question secondaire est de savoir si ces données de compte peuvent aider un attaquant à cibler les personnes qui utilisent Canva pour le travail. Les e-mails et les noms d’utilisateur peuvent soutenir l’hameçonnage. Les noms et les emplacements peuvent rendre les leurres plus crédibles.

Les hachages de mots de passe, s’ils sont cassés ou si les mots de passe sont réutilisés ailleurs, peuvent favoriser le bourrage d’identifiants. Le contexte d’équipe peut aider un attaquant à identifier les administrateurs ou les collaborateurs à haute valeur ajoutée, même lorsque les fichiers de conception ne sont pas publiquement montrés comme volés.

La preuve la plus solide situe toujours la violation au niveau des données de compte, et non dans un événement avéré de vol de fichiers de conception ou de données de carte de paiement. Cette limite est importante. Elle doit également être prouvée, et pas simplement présumée. Les clients avaient besoin d’une raison claire de croire que les conceptions, images, détails de paiement et contenus d’équipe se trouvaient en dehors de la surface consultée, et ils avaient besoin d’un plan distinct pour les données de compte qui s’y trouvaient.

Les hachages de mots de passe ont transformé une violation de profils en un problème d’identité persistant

La protection des mots de passe est l’endroit où l’incident Canva est resté vivant après le premier avis. La FAQ de Canva indiquait que l’attaquant avait accédé à des mots de passe protégés cryptographiquement pour certains utilisateurs. Have I Been Pwned décrit les mots de passe stockés sous forme de hachages bcrypt pour les utilisateurs n’utilisant pas la connexion sociale. C’est un fait public matériellement meilleur que le vol de mots de passe en texte clair, mais cela n’élimine pas le risque.

La force du hachage, l’utilisation de sel, l’unicité des mots de passe, le facteur de travail et les ressources de l’attaquant déterminent tous le niveau de protection que le vérifieur stocké offre une fois la base de données copiée.

Le détail de la réinitialisation de janvier 2020 est la raison la plus claire pour laquelle le problème est resté actif. Canva a déclaré avoir réinitialisé les mots de passe des utilisateurs qui ne les avaient pas changés après avoir appris que certains mots de passe avaient été déchiffrés et partagés en ligne. L’avis aux clients de l’Université de Miami a présenté cette mise à jour pour les utilisateurs du campus concernés, en indiquant qu’environ 4 millions de mots de passe de comptes avaient été déchiffrés et que Canva avait réinitialisé les mots de passe afin que les utilisateurs doivent les changer lors de leur prochaine connexion.

C’est un exemple utile de la réalité échelonnée d’une violation: le premier événement est l’accès à la base de données; l’événement ultérieur est la preuve que certains secrets protégés ne le sont plus.

Les directives de stockage des mots de passe de l’OWASP et les directives d’identité du NIST aident à définir l’obligation. Un service doit supposer qu’une base de données de vérifieurs copiée peut faire l’objet d’une attaque hors ligne. Il doit utiliser des méthodes de hachage résistantes, des facteurs de travail appropriés, des sels et des plans de migration, et il doit réduire la probabilité qu’un mot de passe cassé puisse ouvrir d’autres services. Les utilisateurs restent responsables de l’unicité des mots de passe, mais seule Canva contrôlait la conception du vérifieur stocké et le déclencheur de réinitialisation.

La connexion sociale n’a pas supprimé le problème de responsabilité

Les registres publics de violation distinguent les utilisateurs avec des mots de passe Canva de ceux qui comptaient sur la connexion sociale. Cette distinction est importante car un utilisateur qui se connecte via un autre fournisseur d’identité peut ne pas avoir de hachage de mot de passe Canva de la même manière qu’un utilisateur à mot de passe local. Mais la connexion sociale ne rend pas la couche des comptes sans importance. La base de données de profils contenait toujours des informations d’identité de compte.

Les attaquants pouvaient toujours utiliser les noms, e-mails, noms d’utilisateur et champs de localisation pour cibler les utilisateurs. Les administrateurs d’équipe devaient encore déterminer quels utilisateurs locaux pouvaient avoir besoin de conseils. Les écoles et les agences devaient toujours accompagner les personnes qui ne se souvenaient pas de la manière dont elles avaient créé leur compte Canva.

La connexion sociale crée également une charge de communication. Un avis de violation doit dire aux utilisateurs pourquoi certaines personnes ont besoin d’une réinitialisation de mot de passe et d’autres non, tout en conseillant tout le monde sur l’hameçonnage et la vérification des comptes. Si cette distinction n’est pas claire, les utilisateurs peuvent soit sous-réagir en supposant qu’ils n’ont aucun risque de mot de passe local, soit sur-réagir d’une manière qui crée une charge de support et de la confusion.

Pour un service avec des utilisateurs grand public, éducatifs, en équipe et professionnels, cette distinction doit être faite dans un langage clair.

Le problème de responsabilité n’est donc pas seulement le choix du stockage. C’est la segmentation des conseils aux clients. Quels utilisateurs avaient des hachages de mots de passe locaux? Quels utilisateurs utilisaient une connexion tierce? Quelles équipes avaient des administrateurs qui avaient besoin d’un avis séparé? Quels comptes n’avaient pas changé de mot de passe avant janvier 2020? Quels messages étaient authentiques et lesquels pouvaient être des tentatives d’hameçonnage? Le fournisseur est la seule partie qui peut répondre à ces questions à grande échelle.

La preuve que les conceptions et les données de paiement étaient hors champ restait importante

La question manifeste pour ce cas demande des preuves que les fichiers de conception ou les données de paiement étaient hors champ. C’est la bonne question car la violation des données de profils ne prouve pas automatiquement à elle seule une exposition des fichiers de conception ou des données de carte de paiement. Une analyse responsable ne devrait pas transformer l’accès aux données de compte en une affirmation selon laquelle chaque conception ou enregistrement de paiement a été volé. Elle devrait plutôt se demander quelles preuves étayaient la limite.

La FAQ de Canva est le principal lieu public où l’entreprise décrit ce qui a été consulté et comment elle a réagi. L’ensemble des preuves issues des index publics de violation se concentre sur les données de profil et de compte, et non sur le contenu des conceptions ou les données complètes de carte de paiement.

La distinction est importante pour les clients. Si les fichiers de conception sont hors champ, la charge de travail du client est la protection de l’identité, la réinitialisation du mot de passe, la vérification du compte et la sensibilisation à l’hameçonnage. Si les fichiers de conception sont dans le champ, la charge de travail peut inclure la notification aux clients, l’examen de la confidentialité, l’examen des actifs de marque, l’examen de la vie privée des étudiants et le travail de contrôle des campagnes.

Si les données de paiement sont dans le champ, la charge de travail s’oriente vers la surveillance des cartes, la réponse du processeur et la notification financière. Chaque périmètre modifie le travail exigé du client.

Le registre public permet de traiter les données de compte comme la surface affectée établie. Il permet de demander des preuves plus solides concernant les surfaces exclues. Il ne permet pas de revendiquer le vol de contenu de conception privé ou de données de carte de paiement sans preuve. C’est la discipline qui maintient l’utilité de la responsabilité. Le fournisseur doit prouver les limites, et l’analyste ne doit pas inventer de préjudices en dehors du dossier.

Les espaces de travail d’équipe ont rendu l’avis plus compliqué qu’une réinitialisation grand public

Le guide moderne des rôles et autorisations de Canva montre pourquoi la violation n’est pas seulement un problème de consommateur. Les équipes peuvent avoir des propriétaires, des administrateurs, des membres et des capacités basées sur les rôles qui définissent qui peut accéder et gérer le travail partagé. Les pages entreprise décrivent l’authentification unique (SSO), l’authentification à deux facteurs, la visibilité des activités et les contrôles d’équipe.

Ces contrôles actuels ne prouvent pas toutes les configurations de 2019, mais ils montrent le type de surface d’administration client qui rend l’avis de violation plus difficile qu’une simple réinitialisation de mot de passe individuelle.

Lorsqu’une plateforme a des espaces de travail d’équipe, la question devient de savoir qui reçoit un avis exploitable. Un utilisateur peut avoir besoin de changer un mot de passe. Un administrateur peut avoir besoin d’examiner les membres, de supprimer les utilisateurs dormants, de confirmer l’état de l’authentification unique, de vérifier les comptes privilégiés et d’envoyer des instructions internes. Une école peut avoir besoin de conseiller les élèves et le corps enseignant dans un langage adapté aux pratiques du campus.

Une agence peut avoir besoin d’avertir les clients que les messages d’hameçonnage pourraient faire référence à un travail créatif partagé. Une petite entreprise peut avoir besoin de s’assurer que les publications sur les réseaux sociaux et les calendriers de campagne ne sont pas interrompus par un verrouillage de compte.

Le registre public ne montre pas un processus complet de notification locataire par locataire. Cette absence ne prouve pas que Canva n’a pas notifié les administrateurs. Elle identifie un besoin de preuve pour les clients. Un dossier solide distinguerait l’avis direct à l’utilisateur, l’avis à l’administrateur d’équipe, l’avis à l’administrateur d’établissement scolaire et l’avis au client professionnel. Cette segmentation est importante car le client qui peut corriger un mot de passe personnel n’est souvent pas celui qui peut gouverner une équipe.

L’horloge de l’avis de violation portait un risque pour les clients

Le temps est une preuve. La FAQ de Canva indique qu’elle a détecté l’attaque le 24 mai 2019 et l’a arrêtée pendant qu’elle se produisait. L’entreprise a ensuite communiqué avec les utilisateurs et a mis à jour le dossier en janvier 2020 lorsque certains mots de passe avaient été déchiffrés et partagés en ligne. Cette chronologie crée deux horloges. La première horloge est celle de la détection et de la réponse initiale. La seconde est celle du cassage des mots de passe et de la réinitialisation de suivi. Les deux comptent parce que les clients portent le risque entre ces événements.

La première horloge détermine la rapidité avec laquelle les utilisateurs apprennent à réinitialiser leurs mots de passe et à surveiller l’hameçonnage. La seconde détermine la rapidité avec laquelle les utilisateurs sont forcés d’agir une fois que les mots de passe protégés se révèlent récupérables. Une entreprise peut agir rapidement à la première étape tout en ayant besoin d’une seconde étape solide. La mise à jour de janvier 2020 est importante car elle n’a pas considéré le premier conseil de réinitialisation comme le dernier mot.

Canva a réinitialisé les mots de passe des utilisateurs qui ne les avaient pas déjà changés après avoir appris que certains mots de passe avaient été déchiffrés et partagés.

La norme de responsabilité n’est pas l’omniscience parfaite au premier jour. C’est la spécificité par étapes. Dites ce qui est connu. Dites ce qui est encore en cours d’examen. Dites ce que les utilisateurs doivent faire maintenant. Mettez à jour le dossier lorsque le risque change. L’incident Canva reste utile car il montre qu’un avis de violation n’est pas un message unique. C’est un processus vivant de sécurité des clients.

Les petites entreprises et les agences ont hérité d’un travail pratique de continuité

La déclaration d’impact pour ce cas inclut les petites entreprises, les agences, les spécialistes du marketing et les administrateurs de conception pour une raison. Un service de collaboration en conception peut faire partie des opérations quotidiennes même lorsqu’il n’est pas étiqueté comme infrastructure critique. Une petite entreprise peut compter sur Canva pour les mises à jour de menus, les graphiques de vente, les publications sur les réseaux sociaux, les graphiques de recrutement, le matériel événementiel ou les présentations clients. Une agence peut gérer plusieurs espaces clients.

Un club scolaire peut l’utiliser pour coordonner des événements. Ces utilisateurs peuvent ne pas avoir de personnel de sécurité, mais ils héritent tout de même du travail lié à la violation.

Le travail de continuité après une violation de compte ne se limite pas à se reconnecter. Les utilisateurs peuvent avoir besoin de réinitialiser les mots de passe, de vérifier les adresses e-mail et les paramètres de récupération, de vérifier les membres de l’équipe, de vérifier les liens partagés, d’avertir le personnel des faux messages de réinitialisation, de documenter les communications avec les clients et de s’assurer que le travail de conception prévu se poursuive. Si les comptes sont verrouillés ou si les réinitialisations de mots de passe prêtent à confusion, les opérations commerciales peuvent s’arrêter.

Si les messages d’hameçonnage exploitent l’incident, les utilisateurs peuvent perdre des comptes en dehors de Canva.

C’est pourquoi la continuité de service pour PME figure dans les étiquettes thématiques. L’incident n’avait pas besoin d’arrêter la plateforme de conception pour créer du travail pour les petites équipes. L’avis de violation lui-même est devenu une tâche opérationnelle. Un bon guidage du fournisseur réduit cette charge de travail en séparant les actions obligatoires, les actions recommandées et les actions qui ne sont pas nécessaires parce qu’une surface n’a pas été affectée.

Les utilisateurs du secteur éducatif ont modifié la carte des parties affectées

Canva est largement utilisé par les éducateurs et les étudiants, et le centre de confiance met en évidence des préoccupations spécifiques en matière de confidentialité et d’achat pour l’éducation. Le dossier de violation de 2019 comprenait des avis institutionnels tels que le message de l’Université de Miami aux étudiants et au corps enseignant. Cela importe parce que les utilisateurs du secteur éducatif ne contrôlent pas toujours leur propre environnement de risque. Un étudiant peut utiliser une adresse e-mail attribuée par l’école. Un enseignant peut créer du matériel pédagogique dans un service partagé.

Un service informatique universitaire peut devoir traduire un incident fournisseur en conseils pour le campus, en particulier lorsque les utilisateurs ne se souviennent pas s’ils se sont connectés avec un mot de passe local ou un autre fournisseur d’identité.

Les utilisateurs du secteur éducatif modifient également le ton de l’avis. Un avis grand public peut supposer qu’une seule personne possède le compte. Un avis de campus doit tenir compte des services d’assistance, des communications avec le corps enseignant, de la sensibilisation des étudiants, de la réutilisation des mots de passe avec les systèmes institutionnels et du soutien aux personnes qui reçoivent des messages suspects. Il doit également éviter de confondre Canva la plateforme de conception avec d’autres services au nom similaire.

L’avis de l’Université de Miami est utile car il montre une institution cliente effectuant ce travail de traduction.

Le point de responsabilité n’est pas que chaque école avait la même exposition. C’est que la couche des comptes d’une plateforme de collaboration peut devenir un problème de notification distribué. Le fournisseur doit rédiger un avis que les institutions locales peuvent réutiliser sans deviner. Les institutions locales doivent ensuite l’adapter à leurs propres systèmes d’identité et canaux de support.

La souveraineté et la localisation des données sont apparues à travers un service mondial australien

Canva est un service mondial fondé en Australie, et la base d’utilisateurs affectés n’était pas confinée à un seul pays. Cela fait de la souveraineté et de la localisation des données plus qu’un simple sujet formel de confidentialité. Le service détenait des données de profil utilisateur pour des personnes dans différentes juridictions. L’avis a atteint des individus, des écoles, des entreprises, des agences et des médias régionaux par le biais de différents canaux.

Les orientations australiennes en matière de confidentialité de l’OAIC fournissent un cadre utile: une violation de données implique un accès non autorisé ou une divulgation d’informations personnelles, ou leur perte, et les organisations couvertes doivent notifier les personnes concernées et le commissaire lorsque la violation est susceptible d’entraîner un préjudice grave.

Cet article n’émet pas de constat réglementaire privé à l’encontre de Canva au-delà du registre public. Les documents de l’OAIC sont utilisés pour cadrer ce à quoi ressemble une discipline sérieuse de réponse aux violations en Australie: préparer, contenir, évaluer, notifier et examiner. Une plateforme mondiale doit traduire cette discipline pour les utilisateurs qui peuvent vivre sous des attentes différentes en matière de notification de violation. La même base de données de profils peut produire des obligations locales à un endroit, des devoirs de soutien institutionnel à un autre et des conséquences sur la confiance de la marque partout.

La localisation des données affecte également les attentes en matière de preuves. Les clients veulent savoir où les données étaient conservées, quelles catégories de données étaient affectées, si le contenu utilisateur était inclus, si les données de compte ont franchi les frontières régionales et combien de temps les données ont été conservées. La page des mesures techniques et organisationnelles de Canva décrit les engagements de conservation et de qualité des données en termes généraux. L’incident de 2019 montre pourquoi ces engagements nécessitent une traduction spécifique à la violation en cas de défaillance.

La télémétrie des connexions et les preuves API étaient des surfaces aveugles pour les clients

La question manifeste mentionne la télémétrie API et de connexion parce que les clients ne peuvent pas répondre à ces questions de l’extérieur. Un utilisateur peut voir qu’une réinitialisation de mot de passe a été exigée. Un administrateur peut voir l’activité récente du compte si le produit l’expose. Mais le fournisseur contrôle les journaux d’authentification côté serveur, les journaux d’accès à la base de données, les enregistrements d’accès API, les requêtes suspectes et les preuves de réponse aux incidents.

Ces enregistrements déterminent si la violation des données de compte se limitait aux données de profil, si des comptes ont été abusés, si un accès automatisé a eu lieu et si les contrôles au niveau de l’équipe ont été affectés.

Le registre public ne fournit pas un récit technique complet sur le chemin d’entrée ni chaque examen de journal. Cette absence est courante dans les avis de violation parce que les méthodes détaillées des attaquants peuvent être sensibles. Mais les clients ont tout de même besoin de preuves au niveau des catégories. Ils ont besoin de savoir s’il y avait des signes de prise de contrôle de compte, si les jetons de connexion ont été affectés, si les clés API ou les intégrations étaient dans le champ, si les journaux d’activité ont été examinés et si les administrateurs ont un moyen de vérifier l’état de leur propre locataire.

Il ne s’agit pas d’exiger que Canva publie des journaux bruts. Il s’agit d’exiger une limite vérifiable par le client. Un bon dossier de violation de compte décrit les catégories d’enregistrements examinés, les mesures prises, les surfaces exclues et les conditions qui déclencheraient une autre mise à jour. Sans cela, les clients doivent deviner si un événement de données de profil est resté un événement de données de profil.

Le risque de hameçonnage était un effet prévisible en aval

Une fois que les noms, les noms d’utilisateur, les e-mails, les emplacements et le contexte du service sont publics ou échangés, l’hameçonnage devient plus plausible. Le guide de lutte contre l’hameçonnage de la CISA est utile ici car il désigne l’hameçonnage comme un cycle qui utilise des messages, des liens, des pièces jointes, l’usurpation d’identité et la récolte d’identifiants. Un appât sur le thème de Canva pourrait inciter les utilisateurs à réinitialiser un mot de passe, à examiner une conception partagée, à restaurer un compte d’équipe ou à confirmer un paramètre de paiement.

La violation elle-même donne aux attaquants une histoire crédible.

Les utilisateurs de Canva avaient donc besoin de deux types de conseils. Le premier était un conseil de réinitialisation ordinaire: changez le mot de passe Canva, évitez la réutilisation et utilisez une authentification plus forte lorsqu’elle est disponible. Le second était un conseil d’authenticité des messages: sachez d’où viennent les messages Canva légitimes, évitez les liens suspects et utilisez des voies de connexion fiables. Pour les équipes et les écoles, les administrateurs avaient besoin d’un moyen d’avertir les utilisateurs sans créer un flot de peur ou de tickets de support.

Le risque d’hameçonnage montre aussi pourquoi les catégories de données sont importantes. Une adresse e-mail divulguée seule peut être utile. Une adresse e-mail divulguée, plus le nom et l’appartenance connue à Canva, est plus convaincante. Un contexte de compte divulgué avec la connaissance d’une équipe de conception ou d’un domaine scolaire est encore plus utile. Même lorsque les fichiers de conception ne sont pas prouvés comme volés, les données de compte peuvent faciliter l’ingénierie sociale ultérieure.

Les pages de confiance actuelles sont un contexte utile, pas une preuve rétroactive

Les pages actuelles de sécurité, de confiance, de confidentialité, de mesures techniques, de rôles et de sécurité entreprise de Canva montrent comment l’entreprise présente aujourd’hui sa posture de sécurité. Elles décrivent les contrôles de sécurité, les affirmations de chiffrement, les engagements de confidentialité, les concepts de conservation, les contrôles d’équipe, l’authentification unique, l’authentification à deux facteurs et l’assurance achats. Ces pages sont utiles car elles montrent la surface de confiance moderne que les clients évaluent lorsqu’ils adoptent le service.

Elles ne doivent pas être lues comme une preuve rétroactive de tous les contrôles de 2019. Une page de sécurité actuelle ne prouve pas exactement à quoi ressemblait une base de données de profils en mai 2019. Une page entreprise actuelle ne prouve pas quels administrateurs ont reçu quels avis en 2019. Une politique de confidentialité actuelle ne prouve pas à elle seule un traitement spécifique des données en cas de violation. L’usage correct est plus restreint: les pages publiques actuelles aident à identifier les catégories de contrôle qu’un fournisseur reconnaît comme importantes pour la confiance.

Cette distinction protège l’analyse de deux erreurs. La première erreur consiste à ignorer les engagements de confiance actuels contrôlés par l’entreprise. La seconde consiste à traiter les affirmations actuelles comme une réponse complète à un incident plus ancien. La vision mature consiste à utiliser les pages actuelles pour le vocabulaire de contrôle tout en s’appuyant sur la FAQ de l’incident, l’index de violation, les avis aux clients et les reportages contemporains pour le dossier de l’événement.

Ce que le registre public ne prouve pas

Un article prudent doit nommer ce qu’il ne sait pas. Le registre public ne prouve pas le chemin technique initial exact de l’intrusion. Il ne montre pas chaque champ de la base de données consulté. Il ne montre pas chaque compte qui avait un hachage de mot de passe, chaque compte qui utilisait la connexion sociale, chaque mot de passe cassé, ou chaque tentative ultérieure de prise de contrôle de compte. Il ne montre pas une carte de notification locataire par locataire. Il ne prouve pas que chaque conception, image, enregistrement de paiement, actif de marque ou projet de classe a été consulté.

Il ne prouve pas qu’aucun message d’hameçonnage n’a suivi. Il ne révèle pas chaque investissement interne en sécurité ni chaque discussion au conseil d’administration.

Ces limites ne sont pas une faiblesse de l’analyse. Elles sont la surface de responsabilité. Les clients n’avaient pas besoin de chaque détail sensible. Ils avaient besoin de suffisamment de preuves pour décider quoi réinitialiser, quoi surveiller, quoi dire aux équipes et quels risques étaient circonscrits. Le fournisseur est la partie la mieux placée pour réduire l’incertitude concernant les données de profil, les hachages de mots de passe, l’activité de connexion, les rôles d’équipe et les catégories de données exclues.

La conclusion la plus solide est donc bornée. Canva a dû gérer une large violation de données de compte, des mises à jour échelonnées sur le risque des mots de passe et des conseils aux clients pour un service utilisé dans des flux de travail individuels et collaboratifs. Le registre public étaye cette conclusion. Il ne permet pas d’exagérer l’incident en un vol non étayé de fichiers de conception ou de données de paiement.

Un dossier plus solide aurait séparé les utilisateurs selon l’action nécessaire

Un registre public plus solide aurait séparé les parties affectées par l’action nécessaire. Les utilisateurs à mot de passe local ont besoin de conseils de réinitialisation de mot de passe. Les utilisateurs de connexion sociale ont besoin de conseils sur l’hameçonnage et la vérification de compte, même si aucun hachage de mot de passe Canva n’a été exposé. Les administrateurs d’équipe ont besoin de conseils sur les membres, les rôles, l’authentification unique et l’activité. Les administrateurs de l’éducation ont besoin d’un langage adapté au campus. Les agences ont besoin de soutien pour la communication avec les clients.

Les petites entreprises ont besoin de conseils de continuité qui évitent les temps d’arrêt inutiles.

Le dossier distinguerait également les catégories de données par niveau de confiance. Les champs de profil confirmés devraient être répertoriés séparément des champs de profil optionnels. Les hachages de mots de passe devraient être décrits séparément des mots de passe déchiffrés. Les surfaces de conception et de paiement exclues devraient être liées à des catégories de preuves. Les inconnues connues devraient être nommées. Si un chiffre change, la raison devrait être claire: statut du compte, analyse du corpus de données, enregistrements en double, données de test ou preuve de cassage ultérieur.

Ce type de dossier ne nécessite pas de publier des secrets. Il nécessite un arbre de décision pratique. Un utilisateur devrait savoir quoi faire en cinq minutes. Un administrateur devrait savoir quoi faire en une journée. Un examinateur de sécurité devrait savoir quelles preuves demander en une semaine. Un régulateur devrait savoir quels contrôles et avis ont été utilisés. L’événement Canva montre pourquoi un avis grand public de masse et un avis de plateforme de collaboration ne devraient pas être identiques.

Les conseils d’administration devraient traiter l’adoption facile comme un multiplicateur de risque

La force de Canva est l’adoption à faible friction. Les gens peuvent commencer à concevoir rapidement, inviter d’autres personnes, partager leur travail et construire des flux de travail récurrents sans un long cycle d’achat. Cette même force peut accroître la complexité de l’avis de violation. Si un service se propage dans les équipes de bas en haut, l’organisation peut ne pas savoir qui a des comptes, quels comptes sont liés à des e-mails d’entreprise, quels comptes contiennent du travail partagé ou quels utilisateurs ont réutilisé leurs mots de passe. Lorsqu’une violation survient, le problème d’inventaire devient urgent.

Les conseils d’administration et les dirigeants devraient traiter l’adoption facile comme un multiplicateur de risque, et non comme une raison de minimiser la couche des comptes. Les questions sont simples. Quelles données de compte sont collectées par défaut? Quels champs optionnels peuvent être minimisés? Comment les vérifieurs de mots de passe sont-ils protégés? À quelle vitesse l’entreprise peut-elle forcer les réinitialisations par classe de risque? Comment les administrateurs d’équipe sont-ils notifiés? Quels conseils contre l’hameçonnage sont préparés?

L’entreprise peut-elle prouver que le contenu utilisateur et les données de paiement sont hors champ? Les options d’authentification unique et à deux facteurs sont-elles visibles et faciles à déployer?

Ce n’est pas seulement une leçon pour Canva. Tout service de collaboration populaire peut créer le même schéma. L’adoption sans friction crée de la valeur, mais elle crée aussi des populations de comptes fantômes et du travail de support lors de la réponse à une violation. Une gouvernance mature accepte les deux faits.

Les acheteurs devraient demander des preuves de violation avant le renouvellement

Les acheteurs interrogent souvent les fournisseurs sur les certifications et la disponibilité, mais passent moins de temps sur les catégories de preuves de violation. Le dossier Canva suggère une meilleure revue de renouvellement. Demandez comment le fournisseur stocke les vérifieurs de comptes. Demandez si les utilisateurs avec connexion sociale sont séparés des utilisateurs avec mots de passe locaux. Demandez quels champs de profil sont obligatoires et lesquels sont optionnels. Demandez comment les administrateurs d’équipe sont notifiés. Demandez si les clients entreprise reçoivent des conseils spécifiques à leur locataire.

Demandez si les utilisateurs peuvent voir l’activité récente. Demandez comment le fournisseur prouve que le contenu utilisateur, les données de paiement, les intégrations ou les jetons API n’ont pas été affectés.

Ces questions ne sont pas punitives. Elles relèvent de la planification de la continuité. Lorsqu’une violation se produit, l’acheteur devra agir rapidement. Une école peut avoir besoin d’envoyer un message aux étudiants. Une petite entreprise peut avoir besoin de maintenir le travail de campagne. Une agence peut avoir besoin de rassurer les clients. Une équipe marketing peut avoir besoin de vérifier les accès partagés. Une équipe achats peut avoir besoin de documenter la réponse du fournisseur. Si les catégories de preuves sont négociées avant le renouvellement, la réponse à l’incident est plus rapide et moins spéculative.

Pour une plateforme de collaboration en conception, le dossier de preuves devrait couvrir les données de compte, les mots de passe, les rôles d’équipe, le contenu utilisateur, les données de paiement, l’activité de connexion, l’avis aux administrateurs, les conseils contre l’hameçonnage et les contrôles modifiés. La violation Canva montre pourquoi tous ces éléments font partie d’une seule conversation.

Le langage contractuel devrait suivre les surfaces des comptes et des espaces de travail

Les clauses génériques de violation sont trop minces pour un compte de collaboration. Le langage contractuel devrait suivre les surfaces des comptes et des espaces de travail. Si le fournisseur stocke des mots de passe locaux, le contrat devrait traiter de la protection des vérifieurs, de la réinitialisation des mots de passe, des mises à jour sur les mots de passe déchiffrés et des déclencheurs de notification. Si le service prend en charge les équipes, le contrat devrait traiter de l’avis aux administrateurs, de l’examen des rôles, de l’exportation des membres et des conseils pour les comptes privilégiés.

Si le service héberge du contenu utilisateur, le contrat devrait traiter de la preuve que le contenu a été ou non consulté. Si des données de paiement sont traitées, le contrat devrait traiter des limites des champs de paiement et de la coordination avec le processeur.

Le contrat devrait également aborder les canaux de communication. Un fournisseur devrait être en mesure d’envoyer des messages critiques pour la sécurité d’une manière que les utilisateurs peuvent authentifier. Les administrateurs devraient avoir un chemin de contact distinct des utilisateurs ordinaires. Les clients de l’éducation et des entreprises devraient savoir où obtenir des conseils spécifiques à leur compte. Si le seul avis est une FAQ générale, les clients devront toujours construire leur propre réponse sous pression.

L’incident Canva est un bon exemple parce que la surface affectée établie était les données de compte, mais les questions touchaient immédiatement aux fichiers de conception, aux enregistrements de paiement, aux équipes, aux écoles et à la continuité des petites entreprises. Un langage contractuel qui ne couvre que les données personnelles peut manquer les devoirs liés à l’espace de travail. Un langage contractuel qui ne couvre que le contenu peut manquer le risque des hachages de mots de passe. La responsabilité suit la surface qui a échoué.

Des indicateurs opérationnels rendraient les futures affirmations testables

Plusieurs indicateurs opérationnels rendraient un futur dossier plus facile à tester. Pour les données de compte, un fournisseur peut indiquer les classes de comptes affectés, les champs obligatoires par rapport aux champs optionnels, la population à mot de passe local, la population à connexion sociale, l’état de la réinitialisation des mots de passe et le suivi des mots de passe déchiffrés. Pour les données d’espace de travail, il peut indiquer si les appartenances aux équipes, les rôles, les invitations, les dossiers partagés et les journaux d’activité ont été examinés.

Pour le contenu utilisateur, il peut indiquer si les fichiers de conception, les images téléchargées, les commentaires, les modèles, les actifs de marque et les liens d’exportation étaient dans le champ. Pour les données de paiement, il peut indiquer si les numéros de carte complets, les jetons, les adresses de facturation ou les enregistrements de paiement partiels ont été consultés.

Pour l’action des clients, le fournisseur peut indiquer quels utilisateurs doivent réinitialiser, lesquels doivent examiner leurs comptes, quels administrateurs doivent examiner les équipes, quels messages sont légitimes et quels risques restent en cours d’enquête. Pour l’assurance, il peut indiquer si des investigations informatiques tierces ont été utilisées, si les forces de l’ordre ou les régulateurs ont été notifiés lorsque cela était requis, et quelles catégories de contrôles ont changé par la suite.

Ces indicateurs ne révèlent pas de détails sensibles sur l’attaquant. Ils rendent les affirmations publiques suffisamment falsifiables pour que les clients puissent agir. Le dossier Canva contient certains de ces éléments, en particulier le nombre de profils, la déclaration sur la protection des mots de passe et la mise à jour de la réinitialisation de janvier 2020. Un dossier plus solide les rassemblerait tous dans une carte unique orientée vers l’action.

La question de la récurrence est plus large que Canva

La question de la récurrence ne porte pas sur le fait que Canva répète le même incident. La question est de savoir si les fournisseurs de collaboration modernes ont tiré la leçon de la couche des comptes. Un outil peut paraître informel tout en contenant des données d’identité. Un espace de travail de conception peut sembler créatif tout en créant une dépendance opérationnelle. Un service grand public peut devenir un outil d’entreprise avant que les achats ne suivent. Un outil scolaire peut devenir une préoccupation pour les données des étudiants même s’il a commencé comme une commodité pour la classe.

La violation Canva reste utile car elle se situe entre l’identité du consommateur et le flux de travail organisationnel. Elle montre pourquoi les hachages de mots de passe ne sont pas un petit détail. Elle montre pourquoi une preuve de cassage ultérieur peut rouvrir un incident. Elle montre pourquoi les administrateurs d’équipe ont besoin de conseils distincts de ceux des utilisateurs individuels. Elle montre pourquoi la preuve concernant le contenu et les données de paiement exclus est importante. Elle montre pourquoi les institutions locales peuvent avoir besoin de traduire un avis fournisseur pour leurs propres communautés.

La leçon constructive est de concevoir la réponse à une violation en fonction du modèle d’adoption réel. Si un service est utilisé par des freelances, des salles de classe, des agences, des petites entreprises et des équipes d’entreprise, le plan d’avis doit tous les servir. Une seule violation peut avoir de nombreux publics, et chaque public a besoin d’une décision différente.

Le résultat final pour la responsabilité

Le résultat final est que Canva contrôlait les systèmes de comptes que les clients avaient besoin qu’on leur explique. Les utilisateurs pouvaient réinitialiser les mots de passe et éviter la réutilisation, mais ils ne pouvaient pas voir la base de données de profils, la configuration des hachages, la télémétrie de connexion, l’exposition au niveau de l’équipe ou la limite du contenu. Les administrateurs pouvaient examiner les équipes locales, mais ils ne pouvaient pas prouver quels enregistrements côté serveur avaient été consultés.

Les écoles et les petites entreprises pouvaient former les utilisateurs, mais elles dépendaient des preuves publiques de Canva pour le périmètre.

La conclusion la plus solide en matière de responsabilité n’est pas que tous les préjudices redoutés se sont produits. La conclusion la plus solide est qu’un service de collaboration en conception est devenu une surface d’identité et de notification à très grande échelle. Le registre public confirme l’accès aux données de compte, le suivi du risque des mots de passe et une large charge de travail pour les clients. Il confirme également qu’il faut faire preuve de retenue quant aux affirmations concernant les fichiers de conception et les données de paiement qui ne sont pas prouvées par les sources publiques.

Pour les acheteurs, la leçon est de demander les catégories de preuves avant une violation. Pour les conseils d’administration, c’est de traiter l’adoption facile comme un problème de gouvernance. Pour les utilisateurs, c’est de traiter les comptes de plateforme de conception comme de véritables actifs identitaires. Pour les régulateurs et les institutions, c’est d’évaluer non seulement le premier avis, mais aussi si le fournisseur met à jour les clients lorsque le risque change.

La décision du lecteur

Un lecteur devrait repartir avec une question pratique. Si une plateforme de collaboration en conception divulguait aujourd’hui que des données de profil et des hachages de mots de passe avaient été consultés, pourrait-elle montrer les classes de comptes affectés, l’état de la réinitialisation, les déclencheurs de mots de passe déchiffrés, les conseils aux administrateurs d’équipe, l’examen de l’activité de connexion, les limites de contenu et de paiement, les conseils contre l’hameçonnage et les obligations de notification régionale sans forcer les clients à déduire ces faits de dossiers épars?

Si la réponse est non, le dossier Canva reste d’actualité comme leçon de responsabilité.

La norme équitable n’est pas la divulgation parfaite de chaque détail technique sensible. La norme équitable est une preuve publique disciplinée. Dites ce qui s’est passé. Dites ce qui est connu. Dites quelles données ont été affectées. Dites quelles données n’ont pas été affectées et pourquoi. Dites qui doit agir. Dites ce qui a changé lorsque le risque des mots de passe a changé. Dites ce que les clients doivent surveiller. Dans le dossier Canva, ces obligations définissent la surface de responsabilité plus clairement que le seul décompte de la violation.

Typographie

La typographie est l’art et la technique de disposer les caractères pour rendre le langage écrit lisible, agréable à lire et visuellement attrayant. Elle implique le choix de polices, de tailles de points, de longueurs de ligne, d’interlignage et d’espacement des lettres.

  • La typographie est née avec l’invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés incluent le choix de la police, le crénage, l’approche et l’interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.