概要

  • Canva は、2019年5月24日に悪意のある攻撃を検知し阻止したと発表し、攻撃者が最大1億3,900万人のユーザーのプロファイルデータベースから情報にアクセスし、一部のユーザーの暗号化されたパスワードを含んでいたと述べた。
  • 中心的な説明責任の問いは次の通りである:誰がアカウントデータの最小化、パスワードハッシュ保護、チームワークスペース通知、API およびログインテレメトリ、ユーザーリセットワークフロー、そしてデザインファイルや支払いデータが範囲外であったことの証拠に対して実質的な管理責任を負っていたのか?
  • その後の公開侵害記録は、ソーシャルログインに依存していなかったユーザーの名前、ユーザー名、メールアドレス、所在地、bcrypt ハッシュ化パスワードを含む1億3,700万人のサブスクライバーデータを記述することで、事件をアクティブに保ち続けた。
  • 顧客の作業負荷は1つのリセットリンクに限定されなかった。ユーザー、管理者、学校、代理店、マーケター、中小企業は、デザインプラットフォームのアカウントを本格的なアイデンティティ資産として扱うべきかどうかを判断しなければならなかった。
  • この記録は、アカウント管理義務と証拠の欠落に関する高い確度の説明責任判断を裏付けている。攻撃者の各ステップ、すべてのテナント、すべてのデザインファイル、すべての支払い記録、またはすべての下流の悪用イベントについて私的事実を作り出すことを支持するものではない。

証拠記録とその使用方法

本記事は、公開記録を単一の完全な報告としてではなく、層状の証拠として扱う。企業記録は Canva が公に述べたことに使用される。公開侵害索引、大学通知、オーストラリアのテクノロジー報道、企業の信頼ページ、プライバシー資料、規制当局のガイダンス、セキュリティ基準は、時系列、管理義務、影響を受ける当事者への影響を枠組みするために使用される。本分析は、二次的な報道を、公開記録が示さない私的事実の証明として扱わない。

#公開記録本分析での使用
1Canva セキュリティインシデント - 5月24日 FAQ検知日、プロファイルデータベースへのアクセス、パスワード保護、リセット措置、インシデントに関する公表された範囲について使用される主要な企業記録。
2Have I Been Pwned Canva 侵害エントリ後日の侵害コーパス、影響を受けたデータカテゴリ、アカウントパスワードの文脈に使用される公開侵害索引。
3Miami University Canva 侵害通知2020年1月のパスワードリセット更新とキャンパスユーザーの作業負荷に使用される機関顧客通知。
4ARNnet の Canva サイバー攻撃レポート当時のパスワード変更ガイダンスとユーザーデータカテゴリに使用されるオーストラリアのテクノロジー報道。
5Australian Financial Review の Canva 批判レポート一般の反応と通知の質に関する文脈に使用される権威ある二次報道。
6iTnews の Canva セキュリティリソースレポート経営陣への影響とインシデント後のセキュリティリソースの文脈に使用される後のオーストラリア報道。
7Canva セキュリティページ暗号化、セキュリティ機能、製品信頼の文脈に使用される現在の企業セキュリティページ。
8Canva トラストセンタープライバシー、セキュリティ、教育、法務、調達保証の文脈に使用される現在の企業信頼ページ。
9Canva 技術的・組織的対策保持、データ品質、組織的保護に使用される企業管理声明。
10Canva プライバシーポリシーアカウントデータ、ユーザーコンテンツ、プライバシー権、グローバルなデータ使用の文脈に使用される現在のプライバシー記録。
11Canva ロールと権限のガイダンスチームワークスペースのロール、管理者の義務、共有アカウントガバナンスの文脈に使用される企業ガイダンス。
12Canva セキュリティ、データ保護、SSO ページエンタープライズコントロール、SSO、二要素認証、チーム可視性、アクセス管理の文脈に使用される企業製品ページ。
13OAIC 通知義務のあるデータ侵害の概要侵害通知と重大な害の文脈に使用されるオーストラリアの規制当局ガイダンス。
14OAIC データ侵害準備・対応ガイド封じ込め、評価、通知、レビュー、侵害対応計画の文脈に使用されるオーストラリアの規制当局ガイダンス。
15NIST サイバーセキュリティフレームワーク識別、保護、検知、対応、復旧、ガバナンス、測定の義務に関する管理用語。
16NIST SP 800-63B デジタルアイデンティティガイダンスパスワード検証子とアカウント認証管理の文脈に使用されるデジタルアイデンティティガイダンス。
17OWASP パスワードストレージチートシートソルト付きハッシュ、ワークファクター、パスワードハッシュクラッキングリスク、リセット義務に使用されるパスワードストレージガイダンス。
18CISA フィッシングガイダンス侵害後のフィッシング、標的型メール、クレデンシャル収集リスクに使用される政府ガイダンス。

説明責任の枠組みは非難よりも狭く、アカウント盗難よりも広い

Canva は、このインシデントが単なるデータベースの話ではなかったため、デザインコラボレーションアカウントを侵害通知の説明責任テストにした。Canva 自身の FAQ によると、同社は2019年5月24日に悪意のある攻撃を検知し、発生中に阻止し、サービスをロックダウンし、その後、攻撃者が最大1億3,900万人のユーザーのプロファイルデータベースから情報にアクセスしたと判断した。同じ企業記録では、一部のユーザーの暗号化されたパスワードがアクセスされたと述べている。Have I Been Pwned は後に、ソーシャルログインを使用していなかったユーザーのメールアドレス、ユーザー名、名前、地理的位置、bcrypt ハッシュ化パスワードを含む1億3,700万人のサブスクライバー侵害コーパスを記述した。この公開記録は、このイベントをグローバルなコラボレーションプラットフォームのアカウント層に明確に位置づけている。

この記録に対して非難を浴びせるのは大雑把すぎる。説明責任の問いは、誰が Canva を攻撃したかだけではない。攻撃の前、最中、後に誰が害を軽減できたかである。Canva は、プロファイルデータベース、アカウントデータの最小化、パスワードハッシュ設計、ログインテレメトリ、インシデント通知、リセットワークフロー、顧客向け説明を管理していた。ユーザーはパスワードの使い回しとリセットアドバイスに従うかどうかを管理していた。チーム管理者は、ローカルメンバーシップの確認、ロール整理、アイデンティティポリシーが存在する場合にそれらを管理していた。学校、代理店、中小企業は自らのユーザー教育を管理していたが、Canva の根本的な侵害証拠を見ることはできなかった。

この分割は重要である。なぜなら、デザインアカウントは銀行口座や健康アカウントよりも重要性が低く感じられることが多いからだ。実際には、アカウントには個人のアイデンティティ、仕事のアイデンティティ、ブランド資産、共有フォルダ、キャンペーン計画、学生プロジェクト、招待リンク、管理者関係が含まれる可能性がある。したがって、アカウント層への攻撃は、クリエイティブクラウドサービスがカジュアルユーザーと管理者の両方が利用できる言葉でリスクを説明できるかどうかのテストとなった。

公開記録が確立すること

公開記録は、具体的なインシデント、対応、そして未解決の証明問題のセットを確立する。Canva の FAQ は、同社が2019年5月24日に攻撃を検知し、Canva をロックダウンし、攻撃者が行ったことを確認し、ユーザーとコミュニケーションを取ったと述べている。また、最大1億3,900万人のユーザーのプロファイルデータベース情報がアクセスされ、一部のユーザーの暗号化されたパスワードがアクセスされたと述べている。さらに、2020年1月12日に、一部のパスワードが解読されオンラインで共有されたことを知った後、Canva はインシデント以降 Canva のパスワードを変更していなかったユーザーのパスワードをリセットしたと述べている。

公開侵害記録と顧客通知は他の層を追加する。Have I Been Pwned は、Canva の侵害を1億3,700万人のサブスクライバーとリストし、メールアドレス、地理的位置、名前、パスワード、ユーザー名を含む露出データカテゴリを特定している。Miami University の IT サービス通知は、キャンパスユーザーに対し、侵害が約1億3,900万人の Canva アカウント保有者に影響し、Canva は2020年1月に約400万のアカウントパスワードが攻撃者によって解読されたことを認識したと伝えた。オーストラリアのテクノロジー報道は、当時のパスワード変更ガイダンスと Canva の侵害コミュニケーションに対する一般の反応を報じた。後のオーストラリアの報道は、このインシデントが経営陣に持続的な影響を与え、継続的なセキュリティリソースの原動力となったと説明した。

これらの点は義務を分析するのに十分である。私的事実を作り出すのには十分ではない。記録は、正確な技術的侵入経路、アクセスされたすべてのテーブル、すべてのログインイベント、影響を受けたすべてのチームワークスペース、すべてのパスワードクラッキング結果、すべてのアカウント乗っ取り試行、またはすべての下流のフィッシングメッセージを示してはいない。したがって、有用な分析は、確認された公開声明を、影響を受けたユーザーが自分で答えることができなかった運用上の質問から分離する。

信頼の対象はクリエイティブワークをめぐるアカウントだった

この場合の信頼の対象は、クリエイティブワークをめぐる Canva アカウントだった。そのアカウントは、Canva が導入しやすく、しばしば無料または摩擦の少ないツールとして始まるため、多くのユーザーにとって軽量に見えた。しかし、同じアカウントが、プロフェッショナルなキャンペーン、教室の教材、クライアントの下書き、ブランドキット、非営利団体のアウトリーチ、ソーシャル投稿、プレゼンテーション、招待状、共有フォルダを取り巻く可能性がある。フリーランサーにとって、アカウントはクライアントへの納品ワークフローの一部かもしれない。学校にとっては、学生と教師の活動の一部かもしれない。マーケティングチームにとっては、ブランド管理とキャンペーンのタイミングが交差する場所かもしれない。中小企業にとっては、公開を続ける実用的な能力を保持しているかもしれない。

その信頼の対象が、侵害の読まれ方を変える。プロファイルデータベースがコピーされた場合、直接のカテゴリは名前、メールアドレス、ユーザー名、所在地、パスワードハッシュかもしれない。二次的な問いは、そのアカウントデータが攻撃者が仕事で Canva を使用する人々を標的にするのに役立つかどうかである。メールアドレスとユーザー名はフィッシングを支援できる。名前と所在地は誘惑をより信じやすくする。パスワードハッシュは、クラックされたり、パスワードが他で再利用されたりした場合、クレデンシャルスタッフィングを支援できる。チームコンテキストは、デザインファイルが盗まれたと公に示されていなくても、攻撃者が管理者や高価値の協力者を特定するのに役立つ。

最も強力な証拠は依然として、侵害を、証明されたデザインファイルや支払いカード盗難イベントではなく、アカウントデータ層に位置づけている。その境界は重要である。また、単に想定されるのではなく、証明される必要がある。顧客は、デザイン、画像、支払い詳細、チームコンテンツがアクセスされた表面の外にあると信じる明確な理由を必要とし、その内部にあるアカウントデータのための別個の計画を必要とした。

パスワードハッシュがプロファイル侵害を長期化するアイデンティティ問題に変えた

パスワード保護こそが、最初の通知後も Canva インシデントが生き続けた場所である。Canva の FAQ は、攻撃者が一部のユーザーの暗号化されたパスワードにアクセスしたと述べた。Have I Been Pwned は、ソーシャルログインを使用していないユーザーに対して、パスワードが bcrypt ハッシュとして保存されていると説明している。これは平文パスワード盗難よりも実質的に優れた公開事実であるが、リスクを排除するものではない。ハッシュ強度、ソルトの使用、パスワードの一意性、ワークファクター、攻撃者のリソースのすべてが、データベースがコピーされた後に保存された検証子が提供する保護の度合いを決定する。

2020年1月のリセットの詳細が、問題がアクティブであり続けた最も明確な理由である。Canva は、一部のパスワードが解読されオンラインで共有されたことを知った後、変更していなかったユーザーのパスワードをリセットしたと述べた。Miami University の顧客通知は、影響を受けたキャンパスユーザー向けにその更新を枠組みし、約400万のアカウントパスワードが解読され、Canva がユーザーが次回ログイン時に変更しなければならないようにパスワードをリセットしたと述べている。これは、段階的な侵害現実の有用な例である:最初のイベントはデータベースアクセスであり、後のイベントは、一部の保護された秘密がもはや保護されていないという証拠である。

OWASP のパスワードストレージガイダンスと NIST のアイデンティティガイダンスは、義務の定義に役立つ。サービスは、コピーされた検証子データベースがオフライン攻撃に直面する可能性があると想定すべきである。耐性のあるハッシュ方法、適切なワークファクター、ソルト、移行計画を使用し、クラックされたパスワードが他のサービスを開く可能性を低減すべきである。ユーザーは一意のパスワードに責任を負うが、保存された検証子の設計とリセットトリガーを管理していたのは Canva だけである。

ソーシャルログインは説明責任の問題を取り除かなかった

公開侵害記録は、Canva パスワードを持つユーザーとソーシャルログインに依存するユーザーを区別している。この区別は重要である。なぜなら、別のアイデンティティプロバイダーを通じてサインインするユーザーは、ローカルパスワードユーザーと同じように Canva パスワードハッシュを持っていない可能性があるからだ。しかし、ソーシャルログインはアカウント層を無関係にするわけではない。プロファイルデータベースには依然としてアカウントアイデンティティ情報が含まれていた。攻撃者は依然として名前、メールアドレス、ユーザー名、所在地フィールドを使用してユーザーを標的にすることができた。チーム管理者は依然として、どのローカルユーザーがアドバイスを必要とするかもしれないかを判断しなければならなかった。学校や代理店は、Canva アカウントを作成した方法を覚えていない人々をサポートしなければならなかった。

ソーシャルログインはまた、コミュニケーションの負担を生み出す。侵害通知は、一部の人がパスワードリセットを必要とし、他の人は必要としない理由をユーザーに伝えると同時に、全員にフィッシングとアカウント確認について助言しなければならない。その区別が不明確な場合、ユーザーはローカルパスワードのリスクがないと思い込んで過小反応するか、サポート負荷と混乱を生み出すような過剰反応をする可能性がある。消費者、教育、チーム、ビジネスユーザーがいるサービスにとって、その区別は平易な言葉で行われなければならない。

したがって、説明責任の問題はストレージの選択だけではない。それは顧客ガイダンスのセグメンテーションである。どのユーザーがローカルパスワードハッシュを持っていたか?どのユーザーがサードパーティログインを使用していたか?どのチームに個別の通知を必要とする管理者がいたか?2020年1月までにパスワードを変更していなかったアカウントはどれか?どのメッセージが本物で、どれがフィッシングの試みである可能性があるか?プロバイダーだけが、それらの質問に規模で答えることができる当事者である。

デザインと支払いデータが範囲外であった証拠は依然として重要だった

このケースの明白な問いは、デザインファイルや支払いデータが範囲外であった証拠を求める。プロファイルデータ侵害だけでは、デザインファイルや支払いカードの露出を自動的に証明するわけではないため、これは正しい問いである。責任ある分析は、アカウントデータアクセスを、すべてのデザインや支払い記録が盗まれたという主張に変えるべきではない。代わりに、どのような証拠が境界を支持したかを問うべきである。Canva の FAQ は、同社が何がアクセスされ、どのように対応したかを説明する主要な公開の場である。公開侵害索引の証拠の大部分は、デザインコンテンツや完全な支払いカードデータではなく、プロファイルとアカウントデータに焦点を当てている。

この区別は顧客にとって重要である。デザインファイルが範囲外であれば、顧客の作業負荷はアイデンティティ保護、パスワードリセット、アカウント確認、フィッシング認識である。デザインファイルが範囲内であれば、作業負荷はクライアント通知、機密性確認、ブランド資産確認、学生プライバシー確認、キャンペーン管理作業を含む可能性がある。支払いデータが範囲内であれば、作業負荷はカード監視、プロセッサー対応、財務通知へと移行する。各範囲は顧客に要求される労力を変える。

公開記録は、確立された影響表面としてアカウントデータを扱うことを支持する。除外された表面についてより強力な証拠を求めることを支持する。証拠なしに私的なデザインコンテンツや支払いカードの盗難を主張することを支持しない。これが説明責任を有用に保つ規律である。プロバイダーは境界を証明しなければならず、分析者は記録の外側に害を作り出してはならない。

チームワークスペースが通知を消費者向けリセットよりも複雑にした

Canva の現代的なロールと許可のガイダンスは、なぜ侵害が単なる消費者問題ではないかを示している。チームには、オーナー、管理者、メンバー、そして共有作業にアクセスして管理できる人を定義するロールベースの機能がある場合がある。エンタープライズページは、SSO、二要素認証、アクティビティ可視性、チームコントロールを説明している。これらの現在のコントロールは、2019年のすべての構成の証拠ではないが、侵害通知を一人のパスワードリセットよりも難しくする種類の顧客管理表面を示している。

プラットフォームにチームワークスペースがある場合、誰が実行可能な通知を受け取るかが問題になる。ユーザーはパスワードを変更する必要があるかもしれない。管理者はメンバーシップを確認し、休眠ユーザーを削除し、SSO ステータスを確認し、特権アカウントをチェックし、内部ガイダンスを送信する必要があるかもしれない。学校は、キャンパスの慣行に合った言葉で学生と教職員に助言する必要があるかもしれない。代理店は、フィッシングメッセージが共有クリエイティブ作業を参照する可能性があることをクライアントに警告する必要があるかもしれない。中小企業は、ソーシャルメディアの公開やキャンペーンスケジュールがアカウントロックアウトによって中断されないようにする必要があるかもしれない。

公開記録は、テナントごとの完全な通知プロセスを示してはいない。その不在は、Canva が管理者への通知に失敗したことを証明するものではない。それは顧客の証拠ニーズを特定する。強力な記録は、直接ユーザー通知、チーム管理者通知、学校管理者通知、ビジネス顧客通知を区別するだろう。このセグメンテーションは重要である。なぜなら、個人のパスワードを修正できる顧客は、しばしばチームを統治できる顧客ではないからだ。

侵害通知の時計は顧客リスクを伴っていた

時間は証拠である。Canva の FAQ は、2019年5月24日に攻撃を検知し、発生中に阻止したと述べている。その後、同社はユーザーとコミュニケーションを取り、2020年1月に一部のパスワードが解読されオンラインで共有されたときに記録を更新した。そのタイムラインは2つの時計を生み出す。最初の時計は検知と初期対応の時計である。2つ目はパスワードクラッキングとフォローアップリセットの時計である。どちらも重要である。なぜなら、顧客はそれらのイベントの間にリスクを負うからだ。

最初の時計は、ユーザーがどれだけ早くパスワードをリセットし、フィッシングに注意するかを決定する。2つ目は、保護されたパスワードが復元可能であると示された後、ユーザーがどれだけ早く行動を強いられるかを決定する。企業は最初の段階で迅速に行動しても、依然として強力な第2段階を必要とする可能性がある。2020年1月の更新は、最初のリセットアドバイスを最終的な言葉として扱わなかったため重要である。Canva は、一部のパスワードが解読され共有されたことを知った後、まだ変更していなかったユーザーのパスワードをリセットした。

説明責任の基準は、初日に完全な全知であることではない。それは段階的な具体性である。わかっていることを言う。レビュー中のことを言う。ユーザーが今すべきことを言う。リスクが変わったら記録を更新する。Canva インシデントは、侵害通知が単一のメッセージではないことを示しているため、依然として有用である。それは生きた顧客安全プロセスである。

中小企業と代理店は実用的な継続性作業を引き継いだ

このケースの影響声明には、中小企業、代理店、マーケター、デザイン管理者が理由がある。デザインコラボレーションサービスは、重要インフラとラベル付けされていなくても、日常業務の一部になり得る。中小企業は、メニュー更新、販売グラフィック、ソーシャル投稿、採用グラフィック、イベント資料、クライアントプレゼンテーションを Canva に依存するかもしれない。代理店は複数のクライアントスペースを管理するかもしれない。学校のクラブはイベントを調整するためにそれを使うかもしれない。それらのユーザーはセキュリティスタッフを持っていないかもしれないが、それでも侵害作業を引き継ぐ。

アカウント侵害後の継続性作業には、再度ログインする以上のものが含まれる。ユーザーは、パスワードをリセットし、メールアドレスとリカバリ設定を確認し、チームメンバーをチェックし、共有リンクを検証し、偽のリセットメッセージについてスタッフに警告し、顧客コミュニケーションを文書化し、予定されたデザイン作業が依然として進行することを確認する必要があるかもしれない。アカウントがロックされたり、パスワードリセットが混乱させるものであったりすると、ビジネス運営が停滞する可能性がある。フィッシングメッセージがインシデントを悪用する場合、ユーザーは Canva 外のアカウントを失う可能性がある。

これが、中小企業のサービス継続性がトピックラベルに含まれる理由である。インシデントは、小規模チームの作業を生み出すためにデザインプラットフォームをシャットダウンする必要はなかった。侵害通知自体が運用上のタスクになった。優れたプロバイダーガイダンスは、必要なアクション、推奨されるアクション、表面が影響を受けなかったために不要なアクションを分離することで、その作業負荷を軽減する。

教育ユーザーが影響当事者マップを変えた

Canva は教育者と学生に広く使用されており、トラストセンターは教育特有のプライバシーと調達の懸念を強調している。2019年の侵害記録には、Miami University の学生と教職員へのメッセージなどの機関通知が含まれていた。これは重要である。なぜなら、教育ユーザーは常に自分のリスク環境を管理できるわけではないからだ。学生は学校によって割り当てられたメールアドレスを使用するかもしれない。教師は共有サービスで教室の教材を作成するかもしれない。大学の IT オフィスは、ベンダーのインシデントをキャンパスのアドバイスに翻訳しなければならないかもしれない。特に、ユーザーがローカルパスワードでサインインしたのか、別のアイデンティティプロバイダーでサインインしたのかを覚えていない場合である。

教育ユーザーはまた、通知のトーンを変える。消費者通知は、アカウントを1人が所有していると想定できる。キャンパス通知は、ヘルプデスク、教職員コミュニケーション、学生認識、機関システムとのパスワード再利用、不審なメッセージを受け取る人々へのサポートを考慮しなければならない。また、デザインプラットフォームの Canva を他の同様の名前のサービスと混同しないようにしなければならない。Miami University の通知は、顧客機関がその翻訳作業を行っていることを示しているため有用である。

説明責任のポイントは、すべての学校が同じ露出を持っていたということではない。コラボレーションプラットフォームのアカウント層が分散通知問題になり得るということである。プロバイダーは、地元の機関が推測せずに再利用できる通知を書かなければならない。地元の機関はその後、それを自らのアイデンティティシステムとサポートチャネルに適応させなければならない。

データ主権と地域性がオーストラリアのグローバルサービスを通じて現れた

Canva はオーストラリア発祥のグローバルサービスであり、影響を受けたユーザーベースは1つの国に限定されなかった。これにより、データ主権と地域性は単なる正式なプライバシートピック以上のものになる。サービスは、管轄区域を越えた人々のユーザープロファイルデータを保持していた。通知は、個人、学校、企業、代理店、地域メディアに異なるチャネルを通じて届いた。OAIC からのオーストラリアのプライバシーガイダンスは有用な枠組みを提供している:データ侵害は、個人情報への不正アクセス、開示、または喪失を伴い、対象組織は、侵害が深刻な害を引き起こす可能性が高い場合、影響を受ける個人とコミッショナーに通知しなければならない。

本記事は、公開記録を超えて Canva に対する私的な規制上の判断を主張するものではない。OAIC の資料は、真剣なオーストラリアの侵害対応規律がどのようなものかを枠組みするために使用される:準備、封じ込め、評価、通知、レビュー。グローバルプラットフォームは、異なる侵害通知期待の下に住むかもしれないユーザーのために、その規律を翻訳しなければならない。同じプロファイルデータベースが、ある場所では地元の義務を生み出し、別の場所では機関の支援義務を生み出し、どこでもブランド信頼の結果を生み出す可能性がある。

データ地域性はまた、証拠期待に影響を与える。顧客は、データがどこに保持されていたか、どのデータカテゴリが影響を受けたか、ユーザーコンテンツが含まれていたか、アカウントデータが地域境界を越えたか、データがどれだけ長く保持されていたかを知りたがる。Canva の技術的・組織的対策ページは、保持とデータ品質のコミットメントを一般的な言葉で説明している。2019年のインシデントは、失敗時にそれらのコミットメントが侵害固有の翻訳を必要とする理由を示している。

ログインテレメトリと API 証拠は顧客に見えない表面だった

明白な問いは API とログインテレメトリを挙げている。なぜなら、顧客は外部からそれらの質問に答えることができないからだ。ユーザーは、パスワードリセットが必要だったことを見ることができる。管理者は、製品がそれを公開している場合、最近のアカウントアクティビティを見ることができる。しかし、プロバイダーはサーバーサイドの認証ログ、データベースアクセスログ、API アクセス記録、不審なクエリ、インシデント対応証拠を管理している。それらの記録は、アカウントデータ侵害がプロファイルデータに限定されていたかどうか、アカウントが悪用されたかどうか、自動化されたアクセスが発生したかどうか、チームレベルのコントロールが影響を受けたかどうかを決定する。

公開記録は、侵入経路やすべてのログレビューに関する完全な技術的ナラティブを提供していない。この不在は侵害通知では一般的である。なぜなら、詳細な攻撃者手法は機密である可能性があるからだ。しかし、顧客は依然としてクラスレベルの証拠を必要としている。アカウント乗っ取りの兆候があったかどうか、ログイントークンが影響を受けたかどうか、API キーや統合が範囲内だったかどうか、アクティビティログがレビューされたかどうか、管理者が自らのテナント状態を検証する方法があるかどうかを知る必要がある。

これは Canva に生ログの公開を要求するものではない。顧客が検証可能な境界を要求するものである。優れたアカウント侵害記録は、レビューされた記録のクラス、取られたアクション、除外された表面、別の更新をトリガーする条件を記述する。それがなければ、顧客はプロファイルデータイベントがプロファイルデータイベントにとどまったかどうかを推測しなければならない。

フィッシングリスクは予測可能な下流効果だった

名前、ユーザー名、メールアドレス、所在地、サービスコンテキストが公開されたり取引されたりすると、フィッシングがより現実的になる。CISA のフィッシングガイダンスはここで有用である。なぜなら、フィッシングをメッセージ、リンク、添付ファイル、なりすまし、クレデンシャル収集を使用するサイクルとして挙げているからだ。Canva をテーマにしたルアーは、パスワードのリセット、共有デザインの確認、チームアカウントの復元、支払い設定の確認をユーザーに指示する可能性がある。侵害自体が攻撃者に信頼できるストーリーを与える。

したがって、Canva ユーザーには2種類のガイダンスが必要だった。1つ目は通常のリセットガイダンス:Canva パスワードを変更し、再利用を避け、利用可能な場合はより強力な認証を使用する。2つ目はメッセージ認証ガイダンス:正当な Canva メッセージがどこから来るかを知り、不審なリンクを避け、信頼できるログインルートを使用する。チームや学校にとって、管理者は恐怖やサポートチケットの洪水を生み出すことなくユーザーに警告する方法を必要とした。

フィッシングリスクはまた、データカテゴリがなぜ重要かを示している。漏洩したメールアドレスだけでも有用である。漏洩したメールアドレスに名前と既知の Canva メンバーシップが加わると、より説得力が増す。デザインチームや学校ドメインの知識を持つ漏洩したアカウントコンテキストは、さらに有用である。デザインファイルが盗まれたと示されていなくても、アカウントデータは後のソーシャルエンジニアリングを容易にする可能性がある。

現在の信頼ページは有用な文脈であり、遡及的な証明ではない

Canva の現在のセキュリティ、トラスト、プライバシー、技術的対策、ロール、エンタープライズセキュリティページは、同社が現在どのようにセキュリティ姿勢を提示しているかを示している。それらは、セキュリティ管理、暗号化の主張、プライバシーコミットメント、保持概念、チームコントロール、SSO、二要素認証、調達保証を説明している。これらのページは、顧客がサービスを導入する際に評価する現代の信頼表面を示しているため有用である。

それらは、2019年のすべての管理の遡及的な証明として読まれるべきではない。現在のセキュリティページは、2019年5月にプロファイルデータベースがどのように見えたかを正確に証明するものではない。現在のエンタープライズページは、2019年にどの管理者がどの通知を受け取ったかを証明するものではない。現在のプライバシーポリシーは、それ自体で侵害固有のデータ処理を証明するものではない。正しい使用法はより狭い:現在の公開ページは、プロバイダーが信頼にとって重要と認識する管理カテゴリを特定するのに役立つ。

その区別は、分析を2つの誤りから保護する。第一の誤りは、現在の企業が管理する信頼コミットメントを無視することである。第二の誤りは、現在の主張を古いインシデントに対する完全な回答として扱うことである。成熟した見方は、イベント記録についてはインシデント FAQ、侵害索引、顧客通知、当時の報道に依存しながら、管理用語のために現在のページを使用することである。

公開記録が証明しないもの

注意深い記事は、知らないことを挙げるべきである。公開記録は、正確な初期の技術的侵入経路を証明していない。アクセスされたすべてのデータベースフィールドを示していない。パスワードハッシュを持っていたすべてのアカウント、ソーシャルログインを使用したすべてのアカウント、クラックされたすべてのパスワード、または後のすべてのアカウント乗っ取り試行を示していない。テナントごとの通知マップを示していない。すべてのデザイン、画像、支払い記録、ブランド資産、または教室プロジェクトがアクセスされたことを証明していない。フィッシングメッセージが続かなかったことを証明していない。すべての内部セキュリティ投資やすべての取締役会の議論を明らかにしていない。

これらの限界は分析の弱点ではない。それらは説明責任の表面である。顧客は、すべての機密詳細を必要としなかった。何をリセットするか、何を監視するか、チームに何を伝えるか、どのリスクが境界付けられているかを決定するのに十分な証拠を必要とした。プロバイダーは、プロファイルデータ、パスワードハッシュ、ログインアクティビティ、チームロール、除外データカテゴリに関する不確実性を低減するのに最も適した当事者である。

したがって、最も強力な発見は境界付けられている。Canva は、大規模なアカウントデータ侵害、段階的なパスワードリスク更新、個人および共同ワークフローで使用されるサービスのための顧客ガイダンスを管理しなければならなかった。公開記録はその発見を支持する。サポートされていないデザインファイルや支払いカードの盗難にインシデントを誇張することを支持しない。

より強力な記録は、必要なアクションごとにユーザーを分離していただろう

より強力な公開記録は、影響を受ける当事者を必要なアクションごとに分離するだろう。ローカルパスワードユーザーはパスワードリセットガイダンスを必要とする。ソーシャルログインユーザーは、Canva パスワードハッシュが露出していなくても、フィッシングとアカウント確認のガイダンスを必要とする。チーム管理者は、メンバーシップ、ロール、SSO、アクティビティのガイダンスを必要とする。教育管理者はキャンパス対応の言葉を必要とする。代理店はクライアントコミュニケーションサポートを必要とする。中小企業は不必要なダウンタイムを回避する継続性ガイダンスを必要とする。

記録はまた、確信度によってデータカテゴリを区別するだろう。確認済みプロファイルフィールドは、オプションのプロファイルフィールドと別々にリストされるべきである。パスワードハッシュは、クラックされたパスワードと別々に説明されるべきである。除外されたデザインと支払いの表面は、証拠カテゴリに結び付けられるべきである。既知の未知は挙げられるべきである。カウントが変わる場合、理由は明確であるべきである:アカウントステータス、データコーパス分析、重複レコード、テストデータ、または後のクラッキング証拠。

この種の記録は秘密の公開を必要としない。実用的な決定木を必要とする。ユーザーは5分で何をすべきかを知るべきである。管理者は1日で何をすべきかを知るべきである。セキュリティレビュアーは1週間でどの証拠を求めるべきかを知るべきである。規制当局は、どのコントロールと通知が使用されたかを知るべきである。Canva イベントは、大量消費者通知とコラボレーションプラットフォーム通知が同一であってはならない理由を示している。

取締役会は容易な導入をリスク乗数として扱うべきである

Canva の強みは低摩擦の導入である。人々は素早くデザインを始め、他の人を招待し、作業を共有し、長い調達サイクルなしに繰り返しワークフローを構築できる。その同じ強みが、侵害通知の複雑さを増大させる可能性がある。サービスがボトムアップでチームに広がる場合、組織は誰がアカウントを持っているか、どのアカウントが企業メールに結び付けられているか、どのアカウントが共有作業を保持しているか、どのユーザーがパスワードを再利用したかを知らない可能性がある。侵害が到来すると、インベントリ問題が緊急になる。

取締役会と経営陣は、容易な導入をアカウント層を格下げする理由としてではなく、リスク乗数として扱うべきである。質問は単純明快である。デフォルトでどのアカウントデータが収集されるか?どのオプションフィールドを最小化できるか?パスワード検証子はどのように保護されているか?会社はリスククラスごとにどれだけ早くリセットを強制できるか?チーム管理者はどのように通知されるか?どのようなフィッシングガイダンスが準備されているか?企業はユーザーコンテンツと支払いデータが範囲外であることを証明できるか?SSO と二要素オプションは見えやすく展開しやすいか?

これは Canva だけの教訓ではない。人気のあるコラボレーションサービスならどれでも同じパターンを生み出す可能性がある。摩擦のない導入は価値を生み出すが、侵害対応中にシャドーアカウント人口とサポート作業も生み出す。成熟したガバナンスは両方の事実を受け入れる。

購入者は更新前に侵害証拠を求めるべきである

購入者はしばしばベンダーに認証や稼働時間について尋ねるが、侵害証拠カテゴリにはあまり時間をかけない。Canva の記録は、より良い更新レビューを示唆している。ベンダーがアカウント検証子をどのように保存しているか尋ねる。ソーシャルログインを持つユーザーがローカルパスワードを持つユーザーからセグメント化されているかどうか尋ねる。必須のプロファイルフィールドとオプションのプロファイルフィールドを尋ねる。チーム管理者がどのように通知されるか尋ねる。エンタープライズ顧客がテナント固有のガイダンスを受け取るかどうか尋ねる。ユーザーが最近のアクティビティを見ることができるかどうか尋ねる。ベンダーがユーザーコンテンツ、支払いデータ、統合、API トークンが影響を受けなかったことをどのように証明するか尋ねる。

これらの質問は懲罰的ではない。継続性計画である。侵害が起こったとき、購入者は迅速に行動する必要がある。学校は学生にメッセージを送る必要があるかもしれない。中小企業はキャンペーン作業を継続する必要があるかもしれない。代理店はクライアントを安心させる必要があるかもしれない。マーケティングチームは共有アクセスを確認する必要があるかもしれない。調達チームはベンダーの対応を文書化する必要があるかもしれない。証拠カテゴリが更新前に交渉されていれば、インシデント対応はより速く、投機的でなくなる。

デザインコラボレーションプラットフォームにとって、証拠パッケージは、アカウントデータ、パスワード、チームロール、ユーザーコンテンツ、支払いデータ、ログインアクティビティ、管理者通知、フィッシングアドバイス、変更されたコントロールをカバーすべきである。Canva 侵害は、それらのすべてが1つの会話に属する理由を示している。

契約文言はアカウントとワークスペースの表面に従うべきである

一般的な侵害条項はコラボレーションアカウントにとってあまりにも薄い。契約文言はアカウントとワークスペースの表面に従うべきである。ベンダーがローカルパスワードを保存する場合、契約は検証子保護、パスワードリセット、クラックされたパスワードの更新、通知トリガーに対処すべきである。サービスがチームをサポートする場合、契約は管理者通知、ロールレビュー、メンバーシップエクスポート、特権アカウントガイダンスに対処すべきである。サービスがユーザーコンテンツをホストする場合、契約はコンテンツがアクセスされたかどうかの証拠に対処すべきである。支払いデータが処理される場合、契約は支払いフィールドの境界とプロセッサー調整に対処すべきである。

契約はまた、コミュニケーションチャネルに対処すべきである。プロバイダーは、ユーザーが認証できる方法でセキュリティ上重要なメッセージを送信できるべきである。管理者は一般ユーザーとは別の連絡経路を持つべきである。教育およびエンタープライズ顧客は、顧客固有のガイダンスをどこで入手するかを知るべきである。唯一の通知が一般的な FAQ である場合、顧客はプレッシャーの下で依然として自らの対応を構築しなければならない。

Canva インシデントは良い例である。なぜなら、確立された影響表面はアカウントデータだったが、質問はすぐにデザインファイル、支払い記録、チーム、学校、中小企業の継続性に触れたからだ。個人データのみをカバーする契約文言はワークスペースの義務を見逃すかもしれない。コンテンツのみをカバーする契約文言はパスワードハッシュのリスクを見逃すかもしれない。説明責任は失敗した表面に従う。

運用指標が将来の主張を検証可能にするだろう

いくつかの運用指標が将来の記録をテストしやすくするだろう。アカウントデータについては、プロバイダーは影響を受けたアカウントクラス、必須フィールド対オプションフィールド、ローカルパスワード人口、ソーシャルログイン人口、パスワードリセットステータス、クラックされたパスワードのフォローアップを述べることができる。ワークスペースデータについては、チームメンバーシップ、ロール、招待状、共有フォルダ、アクティビティログがレビューされたかどうかを述べることができる。ユーザーコンテンツについては、デザインファイル、アップロードされた画像、コメント、テンプレート、ブランド資産、エクスポートリンクが範囲内だったかどうかを述べることができる。支払いデータについては、完全なカード番号、トークン、請求先住所、または部分的な支払い記録がアクセスされたかどうかを述べることができる。

顧客アクションについては、プロバイダーはどのユーザーがリセットしなければならないか、どのユーザーがアカウントを確認すべきか、どの管理者がチームを確認すべきか、どのメッセージが正当か、どのリスクが調査中かを述べることができる。保証については、サードパーティのフォレンジックが使用されたかどうか、法執行機関や規制当局が必要に応じて通知されたかどうか、その後どのクラスのコントロールが変更されたかを述べることができる。

これらの指標は攻撃者に敏感な詳細を明らかにしない。顧客が行動できる程度に公開主張を反証可能にする。Canva 記録には、特にプロファイルデータカウント、パスワード保護声明、2020年1月のリセット更新など、これらの要素のいくつかが含まれている。より強力な記録は、それらすべてを単一の行動指向のマップにまとめるだろう。

再発問題は Canva よりも広範である

再発問題は、Canva が同じインシデントを繰り返すかどうかではない。問題は、現代のコラボレーションプロバイダーがアカウント層の教訓を学んだかどうかである。ツールはインフォーマルに感じられても、依然としてアイデンティティデータを保持できる。デザインワークスペースはクリエイティブに感じられても、依然として運用依存を生み出すことができる。消費者向けサービスは、調達が追いつく前にエンタープライズツールになることができる。学校ツールは、教室の便利さとして始まった場合でも、学生データの懸念事項になることができる。

Canva 侵害は、消費者アイデンティティと組織ワークフローの間に位置するため、依然として有用である。パスワードハッシュが小さな詳細ではない理由を示している。後のクラッキング証拠がインシデントを再開できる理由を示している。チーム管理者が個人ユーザーとは異なるガイダンスを必要とする理由を示している。除外されたコンテンツと支払いデータに関する証拠が重要である理由を示している。地元の機関が自らのコミュニティのためにベンダー通知を翻訳する必要があるかもしれない理由を示している。

建設的な教訓は、実際の導入パターンに合わせて侵害対応を設計することである。サービスがフリーランサー、教室、代理店、中小企業、エンタープライズチームによって使用される場合、通知計画はそれらすべてに役立たなければならない。単一の侵害には多くのオーディエンスが存在し、各オーディエンスは異なる決定を必要とする。

説明責任の要点

要点は、Canva が顧客が説明を必要としたアカウントシステムを管理していたということである。ユーザーはパスワードをリセットし再利用を避けることができたが、プロファイルデータベース、ハッシュ構成、ログインテレメトリ、チームレベルの露出、コンテンツ境界を見ることはできなかった。管理者はローカルチームを確認できたが、どのサーバーサイドの記録がアクセスされたかを証明することはできなかった。学校や中小企業はユーザーを教育できたが、範囲については Canva の公開証拠に依存していた。

最も強力な説明責任の発見は、恐れられていたすべての害が起こったということではない。最も強力な発見は、デザインコラボレーションサービスが非常に大規模にアイデンティティと通知の表面になったということである。公開記録は、アカウントデータアクセス、パスワードリスクのフォローアップ、広範な顧客作業負荷を支持する。また、公開情報源によって証明されていないデザインファイルや支払いデータの主張に対する抑制も支持する。

購入者にとっての教訓は、侵害の前に証拠カテゴリを要求することである。取締役会にとっては、容易な導入をガバナンス問題として扱うことである。ユーザーにとっては、デザインプラットフォームのアカウントを本物のアイデンティティ資産のように扱うことである。規制当局や機関にとっては、最初の通知だけでなく、リスクが変わったときにプロバイダーが顧客を更新するかどうかも評価することである。

読者の決断

読者は実用的な質問を持ち帰るべきである。今日、デザインコラボレーションプラットフォームがプロファイルデータとパスワードハッシュがアクセスされたと開示した場合、影響を受けたアカウントクラス、リセットステータス、クラックされたパスワードのトリガー、チーム管理者ガイダンス、ログインアクティビティレビュー、コンテンツと支払いの境界、フィッシングアドバイス、地域通知義務を、顧客に散在した記録からそれらの事実を推測させることなく示すことができるだろうか?答えがノーであれば、Canva の記録は説明責任の教訓として依然として現代的である。

公正な基準は、すべての機密技術的詳細の完全な開示ではない。公正な基準は、規律ある公開証明である。何が起こったかを言う。何がわかっているかを言う。どのデータが影響を受けたかを言う。どのデータが影響を受けなかったか、そしてその理由を言う。誰が行動しなければならないかを言う。パスワードリスクが変わったときに何が変わったかを言う。顧客が何を監視すべきかを言う。Canva の記録では、これらの義務が侵害件数だけよりも明確に説明責任の表面を定義している。

タイポグラフィ

タイポグラフィは、書き言葉を読みやすく、読みやすく、視覚的に魅力的にするために文字を配置する芸術と技術である。書体、ポイントサイズ、行の長さ、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによる活版印刷の発明とともに始まった。
  • 主要な要素には、フォント選択、カーニング、トラッキング、行送りが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおける雰囲気やトーンを伝える。