Une violation massive des données frappe des millions de producteurs de cannabis

GrowDiaries, une plate-forme communautaire pour les cultivateurs de cannabis légaux qui leur permet de suivre leur production, est devenue la dernière victime d'une violation de données.

GrowDiaries a commencé comme un endroit qui permet à ses utilisateurs de faire un «suivi détaillé des pratiques de culture du cannabis». Il propose également des outils de suivi et un journal numérique. Le propre site Web de la société déclare que GrowDiaries est «totalement sûr à utiliser et à stocker des informations».

Cependant, le chercheur en sécurité Volodymyr Diachenko a découvert une base de données GrowDiaries contenant 1,4 million d'enregistrements d'utilisateurs, y compris des adresses IP et des e-mails, ainsi que 2 millions d'autres enregistrements liés aux publications des utilisateurs sur la plate-forme et aux mots de passe des comptes qui étaient au moins stockés sous forme hachée.

Pourtant, comme l'a souligné Diachenko, la méthode de hachage utilisée était MD5, qui est loin d'être sécurisée - il existe en fait des outils gratuits en ligne qui offrent le décryptage des chaînes hachées à l'aide de MD5, donc obtenir les mots de passe en texte brut des utilisateurs utilisant les enregistrements exposés serait être un jeu d'enfant pour les mauvais acteurs.

Les adresses IP dans la base de données comprenaient également de nombreuses adresses provenant d'États américains et d'autres pays, où la culture du cannabis n'est pas légale.

La raison pour laquelle les bases de données étaient accessibles est que GrowDiaries a laissé deux instances de plate-forme Kibana non sécurisées. Après avoir découvert les instances Kibana défectueuses, Diachenko a immédiatement alerté GrowDiaries, qui a sécurisé les données qui fuyaient cinq jours plus tard.

En l'absence d'autres commentaires sur l'incident de GrowDiaries, Diachenko n'a aucune preuve tangible que d'autres tiers aient accédé illégalement aux données, mais pense que c'est probable. Dans le cas où les données seraient effectivement consultées et des parties volées, cela pourrait entraîner beaucoup de problèmes pour les utilisateurs de GrowDiaries, selon qui les a mis la main sur et ce qu'ils ont choisi d'en faire.

Outre le lieu très évident de bourrage de mots de passe que les mauvais acteurs pourraient prendre avec les mots de passe déchiffrés, il existe une bien pire possibilité d'extorsion. Avec autant d'utilisateurs de GrowDiaries dans des pays où la culture de marijuana est illégale, ils pourraient être confrontés à de très graves menaces d'extorsion qui pourraient avoir de réelles conséquences juridiques si de mauvais acteurs donnent suite à d'éventuelles menaces.

Malheureusement, il s'agit d'un autre cas où, quelle que soit la sécurité et la complexité de votre mot de passe, le fait que le service le stocke dans un format mal crypté annule tous vos efforts pour rester en sécurité.

Par Zaib
November 6, 2020
Computer Security
Français
November 6, 2020
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.