Massive databrud rammer millioner af cannabisavlere
GrowDiaries, en fællesskabsplatform for lovlige cannabisavlere, der giver dem mulighed for at spore deres produktion, blev det seneste offer for et databrud.
GrowDiaries startede som et sted, der giver brugerne mulighed for at foretage "detaljeret sporing af cannabisodlingspraksis". Det tilbyder også sporingsværktøjer og en digital journal. Virksomhedens eget websted siger, at GrowDiaries er "helt sikkert at bruge og gemme oplysninger om".
Sikkerhedsforsker Volodymyr Diachenko opdagede imidlertid en GrowDiaries-database indeholdende 1,4 millioner brugeroptegnelser, herunder IP-adresser og e-mails, samt 2 millioner yderligere poster relateret til brugerindlæg på platformen og kontoadgangskoder, der i det mindste blev gemt i hashform.
Som Diachenko påpegede, var den anvendte hashing-metode MD5, hvilket er langt fra sikker - der er faktisk gratis værktøjer online, der tilbyder dekryptering af strenge, der blev hashet ved hjælp af MD5, så at få adgangskoder til almindelig tekst til brugere, der bruger de eksponerede poster, ville være børnespil for dårlige skuespillere.
IP-adresserne i databasen omfattede også mange, der stammer fra amerikanske stater og andre lande, hvor dyrkning af cannabis ikke er lovligt.
Årsagen til, at databaserne var tilgængelige, var, at GrowDiaries efterlod to usikrede Kibana-platformforekomster. Efter sin opdagelse af de defekte Kibana-forekomster advarede Diachenko straks GrowDiaries, som sikrede de utætte data fem dage senere.
Uden yderligere kommentarer til hændelsen fra GrowDiaries har Diachenko ingen hårde beviser for, at andre tredjeparter ulovligt har fået adgang til dataene, men mener, at dette er sandsynligt. Hvis dataene faktisk blev åbnet, og dele af dem blev stjålet, kunne dette stave en masse problemer for GrowDiaries-brugere, afhængigt af hvem der fik fat i det, og hvad de valgte at gøre med det.
Bortset fra det meget åbenlyse sted med adgangskodefyldning , som dårlige skuespillere kan tage med de dekrypterede adgangskoder, er der den meget værre mulighed for afpresning. Med så mange GrowDiaries-brugere i lande, hvor dyrkning af marihuana er ulovligt, kan de blive udsat for meget alvorlige afpresningstrusler, der kan have reelle juridiske konsekvenser, hvis dårlige aktører følger op på eventuelle trusler.
Desværre er dette en anden forekomst, hvor uanset hvor sikker og kompleks din adgangskode er, det faktum, at tjenesten gemmer det i et dårligt krypteret format, annullerer al din indsats for at forblive sikker.
