Résumé
- Canva a déclaré avoir détecté et stoppé une attaque malveillante le 24 mai 2019, et que l'attaquant a accédé aux informations de sa base de données de profil pour jusqu'à 139 millions d'utilisateurs, y compris des mots de passe cryptographiquement protégés pour certains utilisateurs.
- La question centrale de responsabilité est la suivante: qui avait le contrôle pratique sur la minimisation des données de compte, la protection des hachages de mots de passe, la notification des espaces de travail d'équipe, la télémétrie API et de connexion, les workflows de réinitialisation utilisateur, et les preuves que les fichiers de conception ou les données de paiement étaient hors de portée?
- Les archives publiques de violation ont ensuite maintenu l'incident actif en décrivant un corpus de 137 millions d'abonnés avec noms, noms d'utilisateur, adresses e-mail, localisations et mots de passe hachés en bcrypt pour les utilisateurs n'ayant pas utilisé la connexion sociale.
- La charge de travail client ne se limitait pas à un lien de réinitialisation. Les utilisateurs, administrateurs, écoles, agences, spécialistes du marketing et petites entreprises ont dû décider si un compte de plateforme de conception devait être traité comme un actif d'identité sérieux.
- Les preuves soutiennent une conclusion de responsabilité à haute confiance concernant les devoirs de contrôle des comptes et les lacunes probantes. Elles ne soutiennent pas l'invention de faits privés sur chaque étape de l'attaquant, chaque locataire, chaque fichier de conception, chaque enregistrement de paiement ou chaque événement d'abus en aval.
Enregistrement des preuves et comment il est utilisé
Cet article traite les archives publiques comme des preuves superposées plutôt que comme un récit unique complet. Les enregistrements de l'entreprise sont utilisés pour ce que Canva a déclaré publiquement. Les index de violation publics, les avis universitaires, les rapports technologiques australiens, les pages de confiance de l'entreprise, les documents de confidentialité, les directives réglementaires et les normes de sécurité sont utilisés pour encadrer la chronologie, les devoirs de contrôle et les implications pour les parties affectées.
L'analyse ne traite pas les rapports secondaires comme une preuve de faits privés que les archives publiques ne montrent pas.
| # | Enregistrement public | Utilisation dans cette analyse |
|---|---|---|
| 1 | FAQ sur l'incident de sécurité Canva - 24 mai | Enregistrement principal de l'entreprise utilisé pour la date de détection, l'accès à la base de données de profil, la protection des mots de passe, l'action de réinitialisation et les limites déclarées autour de l'incident. |
| 2 | Entrée de violation Canva sur Have I Been Pwned | Index de violation public utilisé pour le corpus de violation ultérieur, les catégories de données affectées et le contexte des mots de passe de compte. |
| 3 | Avis de violation Canva de l'Université de Miami | Avis client institutionnel utilisé pour la mise à jour de réinitialisation de mot de passe de janvier 2020 et la charge de travail des utilisateurs du campus. |
| 4 | Rapport ARNnet sur la cyberattaque contre Canva | Reportage technologique australien utilisé pour les conseils contemporains de changement de mot de passe et les catégories de données utilisateur. |
| 5 | Rapport Australian Financial Review sur les critiques envers Canva | Reportage secondaire faisant autorité utilisé pour le contexte de réponse publique et de qualité des avis. |
| 6 | Rapport iTnews sur les ressources en sécurité de Canva | Reportage australien ultérieur utilisé pour le contexte d'impact exécutif et de ressources en sécurité post-incident. |
| 7 | Page de sécurité de Canva | Page de sécurité actuelle de l'entreprise utilisée pour le contexte de chiffrement, de fonctionnalités de sécurité et de confiance produit. |
| 8 | Centre de confiance de Canva | Page de confiance actuelle de l'entreprise utilisée pour le contexte de confidentialité, sécurité, éducation, juridique et assurance d'approvisionnement. |
| 9 | Mesures techniques et organisationnelles de Canva | Déclaration de contrôle de l'entreprise utilisée pour la conservation, la qualité des données et les garanties organisationnelles. |
| 10 | Politique de confidentialité de Canva | Registre de confidentialité actuel utilisé pour le contexte des données de compte, du contenu utilisateur, des droits à la vie privée et de l'utilisation globale des données. |
| 11 | Guide des rôles et autorisations de Canva | Guide de l'entreprise utilisé pour le contexte des rôles d'espace de travail d'équipe, des devoirs d'administrateur et de la gouvernance des comptes partagés. |
| 12 | Page de sécurité, protection des données et SSO de Canva | Page produit de l'entreprise utilisée pour le contexte des contrôles entreprise, SSO, authentification à deux facteurs, visibilité d'équipe et gestion des accès. |
| 13 | Aperçu des violations de données notifiables de l'OAIC | Directive du régulateur australien utilisée pour le contexte de notification de violation et de préjudice grave. |
| 14 | Guide de préparation et de réponse aux violations de données de l'OAIC | Directive du régulateur australien utilisée pour le contexte de confinement, évaluation, notification, révision et planification de réponse aux violations. |
| 15 | NIST Cybersecurity Framework | Vocabulaire de contrôle pour les devoirs d'identification, protection, détection, réponse, récupération, gouvernance et mesure. |
| 16 | NIST SP 800-63B Guide d'identité numérique | Guide d'identité numérique utilisé pour le contexte de contrôle des vérificateurs de mots de passe et d'authentification de compte. |
| 17 | Aide-mémoire OWASP sur le stockage des mots de passe | Guide de stockage des mots de passe utilisé pour le contexte des hachages salés, des facteurs de travail, du risque de craquage de hachage et des devoirs de réinitialisation. |
| 18 | Guide de phishing de la CISA | Guide gouvernemental utilisé pour le contexte de phishing post-violation, d'e-mails ciblés et de risque de collecte d'identifiants. |
Le cadre de responsabilité est plus étroit que le blâme et plus large que le vol de compte
Canva a fait des comptes de collaboration de conception un test de responsabilité en matière d'avis de violation, car l'incident n'était pas qu'une simple histoire de base de données. La propre FAQ de Canva indique que l'entreprise a détecté une attaque malveillante le 24 mai 2019, l'a stoppée en cours d'exécution, a verrouillé le service, puis a déterminé que l'attaquant avait accédé aux informations de la base de données de profil pour jusqu'à 139 millions d'utilisateurs. Le même enregistrement de l'entreprise indique que des mots de passe cryptographiquement protégés ont été accédés pour certains utilisateurs.
Have I Been Pwned a ensuite décrit un corpus de violation de 137 millions d'abonnés contenant adresses e-mail, noms d'utilisateur, noms, localisations géographiques et mots de passe hachés en bcrypt pour les utilisateurs n'ayant pas utilisé la connexion sociale. Ces archives publiques placent l'événement carrément dans la couche des comptes d'une plateforme de collaboration mondiale.
Le blâme est trop grossier pour ces preuves. La question de responsabilité n'est pas seulement de savoir qui a attaqué Canva. C'est qui pouvait réduire le préjudice avant, pendant et après l'attaque. Canva contrôlait la base de données de profil, la minimisation des données de compte, la conception du hachage des mots de passe, la télémétrie de connexion, l'avis d'incident, le workflow de réinitialisation et l'explication destinée aux clients. Les utilisateurs contrôlaient la réutilisation des mots de passe et s'ils suivaient les conseils de réinitialisation.
Les administrateurs d'équipe contrôlaient la révision locale des adhésions, le nettoyage des rôles et la politique d'identité là où ces contrôles existaient. Les écoles, agences et petites entreprises contrôlaient leur propre éducation des utilisateurs, mais elles ne pouvaient pas voir les preuves sous-jacentes de la violation de Canva.
Cette répartition importe car un compte de conception semble souvent moins sensible qu'un compte bancaire ou un compte de santé. En pratique, le compte peut contenir une identité personnelle, une identité professionnelle, des actifs de marque, des dossiers partagés, des plans de campagne, des projets étudiants, des liens d'invitation et des relations d'administrateur. L'attaque contre la couche des comptes est donc devenue un test de la capacité d'un service cloud créatif à expliquer le risque en termes que les utilisateurs occasionnels et les administrateurs pouvaient tous utiliser.
Ce que les archives publiques établissent
Les archives publiques établissent un incident concret, une réponse et un ensemble de questions probantes non résolues. La FAQ de Canva indique que l'entreprise a détecté une attaque le 24 mai 2019, a verrouillé Canva, a examiné ce que l'attaquant a fait et a communiqué avec les utilisateurs. Elle indique que les informations de la base de données de profil ont été accédées pour jusqu'à 139 millions d'utilisateurs et que des mots de passe cryptographiquement protégés ont été accédés pour certains utilisateurs.
Elle indique également que le 12 janvier 2020, Canva a réinitialisé les mots de passe des utilisateurs qui n'avaient pas changé leur mot de passe Canva depuis l'incident après avoir appris que certains mots de passe avaient été déchiffrés et partagés en ligne.
Les index de violation publics et les avis clients ajoutent d'autres couches. Have I Been Pwned répertorie la violation Canva comme 137 millions d'abonnés et identifie les catégories de données exposées, y compris les adresses e-mail, les localisations géographiques, les noms, les mots de passe et les noms d'utilisateur. L'avis des services informatiques de l'Université de Miami a informé les utilisateurs du campus que la violation avait touché environ 139 millions de titulaires de compte Canva et que Canva avait appris en janvier 2020 qu'environ 4 millions de mots de passe de compte avaient été déchiffrés par les attaquants.
Les reportages technologiques australiens ont rapporté des conseils contemporains de changement de mot de passe et la réaction publique à la communication de violation de Canva. Un reportage australien ultérieur a décrit l'incident comme ayant un impact exécutif durable et comme un moteur de la poursuite des ressources en sécurité.
Ces points suffisent pour analyser les devoirs. Ils ne suffisent pas pour inventer des faits privés. Les archives ne montrent pas la voie d'entrée technique exacte, chaque table accédée, chaque événement de connexion, chaque espace de travail d'équipe affecté, chaque résultat de craquage de mot de passe, chaque tentative de prise de contrôle de compte ou chaque message de phishing en aval. L'analyse utile sépare donc les déclarations publiques confirmées des questions opérationnelles auxquelles les utilisateurs affectés ne pouvaient pas répondre par eux-mêmes.
...
La conclusion en matière de responsabilité
En fin de compte, Canva contrôlait les systèmes de comptes que les clients avaient besoin d'explications. Les utilisateurs pouvaient réinitialiser leurs mots de passe et éviter la réutilisation, mais ils ne pouvaient pas voir la base de données de profil, la configuration de hachage, la télémétrie de connexion, l'exposition au niveau de l'équipe ou la limite de contenu. Les administrateurs pouvaient examiner les équipes locales, mais ils ne pouvaient pas prouver quels enregistrements côté serveur avaient été accédés.
Les écoles et les petites entreprises pouvaient éduquer les utilisateurs, mais elles dépendaient des preuves publiques de Canva pour le périmètre.
La conclusion de responsabilité la plus solide n'est pas que chaque préjudice redouté s'est produit. La conclusion la plus solide est qu'un service de collaboration de conception est devenu une surface d'identité et d'avis à très grande échelle. Les archives publiques soutiennent l'accès aux données de compte, le suivi du risque de mot de passe et la large charge de travail client. Elles soutiennent également la retenue concernant les affirmations sur les fichiers de conception et les données de paiement qui ne sont pas prouvées par les sources publiques.
Pour les acheteurs, la leçon est de demander des catégories de preuves avant une violation. Pour les conseils d'administration, c'est de traiter l'adoption facile comme une question de gouvernance. Pour les utilisateurs, c'est de traiter les comptes de plateforme de conception comme de véritables actifs d'identité. Pour les régulateurs et les institutions, c'est d'évaluer non seulement le premier avis, mais aussi si le fournisseur met à jour les clients lorsque le risque change.
La décision du lecteur
Un lecteur devrait en sortir avec une question pratique. Si une plateforme de collaboration de conception divulguait aujourd'hui que des données de profil et des hachages de mots de passe ont été accédés, pourrait-elle montrer les classes de compte affectées, le statut de réinitialisation, les déclencheurs de mot de passe craqué, les conseils aux administrateurs d'équipe, l'examen des activités de connexion, les limites de contenu et de paiement, les conseils de phishing et les devoirs d'avis régionaux sans forcer les clients à déduire ces faits d'archives éparpillées?
Si la réponse est non, les archives de Canva restent d'actualité en tant que leçon de responsabilité.
La norme équitable n'est pas la divulgation parfaite de chaque détail technique sensible. La norme équitable est une preuve publique disciplinée. Dites ce qui s'est passé. Dites ce qui est connu. Dites quelles données ont été affectées. Dites quelles données n'ont pas été affectées et pourquoi. Dites qui doit agir. Dites ce qui a changé lorsque le risque de mot de passe a changé. Dites ce que les clients doivent surveiller. Dans les archives de Canva, ces devoirs définissent la surface de responsabilité plus clairement que le seul nombre de violations.

