Fuite de données Canva (2019)
Le pirate en série GnosticPlayers a compromis la plateforme de design australienne Canva en mai 2019, dérobant les données d'environ 137 millions d'utilisateurs, dont e-mails, noms, localisations et mots de passe hachés avec bcrypt.
- Victime
- Canva
- données
- 137.3M
- utilisateurs
- 137.3M
Le 24 mai 2019, la plateforme de design en ligne australienne Canva a subi une fuite de données touchant environ 137 millions d'utilisateurs, menée par le prolifique pirate en série connu sous le nom de GnosticPlayers.
Ce qui s'est passé
La fuite a été révélée de manière inhabituelle : l'attaquant, opérant sous l'alias GnosticPlayers, a contacté directement ZDNet le matin du 24 mai 2019 pour se vanter d'avoir compromis Canva et exfiltré des données d'utilisateurs — affirmant d'abord environ 139 millions de comptes. Canva a détecté l'intrusion le jour même et a coupé l'accès de l'attaquant alors que l'exfiltration était encore en cours.
GnosticPlayers était déjà tristement célèbre. Depuis le début de 2019, l'acteur avait mis en vente les données de plus de 30 entreprises — plus de 900 millions d'enregistrements dérobés au total — sur des places de marché du dark web, dont Dubsmash, 500px et Zynga. Canva figurait parmi les plus gros butins de cette série.
Ce qui a été exposé
Have I Been Pwned a répertorié 137 272 116 comptes. Les enregistrements exposés comprenaient des adresses e-mail, noms d'utilisateur, noms réels et villes de résidence. Pour les utilisateurs ne se connectant pas via la connexion sociale Google ou Facebook, des mots de passe stockés sous forme d'empreintes bcrypt ont également été dérobés.
Point essentiel, les données de carte de paiement et financières n'ont pas été touchées — Canva ne stocke pas les numéros de carte complets — et la lenteur délibérée de bcrypt signifiait que les mots de passe n'étaient pas facilement récupérables en masse. Malgré cela, en janvier 2020, un sous-ensemble d'environ 4 millions de comptes dont les mots de passe avaient été craqués a été diffusé gratuitement en ligne.
Conséquences
- Environ 137 millions d'utilisateurs ont vu leurs données personnelles exposées, ce qui en fait l'une des plus grandes fuites de 2019.
- Canva a réinitialisé les mots de passe, notifié les utilisateurs concernés, encouragé l'activation de l'authentification à deux facteurs et invalidé les identifiants lorsque le dump de 4 millions de comptes est apparu.
- La réponse transparente et immédiate de l'entreprise ainsi que l'usage de bcrypt ont limité les dommages réels et ont été globalement bien accueillis par la communauté de la sécurité.
Pourquoi c'est important
Canva est un exemple de gestion de crise plutôt réussie sous pression : détection rapide, divulgation publique immédiate et stockage des mots de passe (bcrypt) qui a atténué l'impact même après la fuite de la base. Elle illustre aussi l'ère des courtiers d'identifiants à l'échelle industrielle comme GnosticPlayers, qui agrégeaient des fuites issues de dizaines de plateformes grand public pour alimenter le credential stuffing et les marchés de revente — rappelant pourquoi des mots de passe uniques et la MFA restent essentiels, même lorsqu'un fournisseur hache correctement.
Chronologie
A hacker using the alias GnosticPlayers contacts ZDNet, claiming to have breached Canva that morning and exfiltrated data on roughly 139 million users.
Canva detects the attack and shuts it down, then begins notifying users and prompts password changes.
Canva publicly confirms the breach, stating passwords were stored as bcrypt hashes and that payment card data was not affected.
About 4 million Canva account records with passwords cracked from the breach are released for free online; Canva invalidates affected passwords.
Sources
- haveibeenpwned.comhttps://haveibeenpwned.com/PwnedWebsites#Canva
- zdnet.comhttps://www.zdnet.com/article/canva-security-breach-affects-139-million-users/
- theregister.comhttps://www.theregister.com/2019/05/24/canva_data_breach/
- en.wikipedia.orghttps://en.wikipedia.org/wiki/GnosticPlayers
- canva.comhttps://www.canva.com/security/