A hatalmas adatszegés a kannabisztermesztők millióit érte el

A GrowDiary, a legális kannabisztermesztők közösségi platformja, amely lehetővé teszi számukra a termelésük nyomon követését, az adatvédelem legújabb áldozata lett.

A GrowDiary olyan helyként indult, amely lehetővé teszi a felhasználók számára, hogy "részletes nyomon követhessék a kannabisz-termesztési gyakorlatokat". Nyomkövető eszközöket és digitális naplót is kínál. A vállalat saját honlapján az áll, hogy a GrowDaries "teljesen biztonságos az információk használatában és tárolásában".

Volodymyr Diachenko biztonsági kutató azonban felfedezett egy GrowDiary adatbázist, amely 1,4 millió felhasználói rekordot tartalmazott, beleértve az IP-címeket és az e-maileket, valamint további 2 millió további rekordot, amelyek a platform felhasználói bejegyzéseivel és a fiók jelszavakkal kapcsolatosak voltak, amelyeket legalább kivonatolt formában tároltak.

Ennek ellenére, amint Diacsenko rámutatott, az alkalmazott kivonatolási módszer az MD5 volt, amely korántsem biztonságos - valójában vannak olyan online eszközök, amelyek az MD5 használatával kivonatolt húrok visszafejtését kínálják, így a felhasználók egyszerű szöveges jelszavainak megszerzése a kitett rekordok használatával legyen gyerekjáték a rossz színészek számára.

Az adatbázis IP-címeiben sok olyan is szerepelt, amelyek amerikai államokból és más országokból származnak, ahol a kannabisz termesztése nem legális.

Az adatbázisok hozzáférhetőségének oka az, hogy a GrowDiary két nem biztonságos Kibana platform-példányt hagyott hátra. A hibás Kibana-esetek felfedezése után Diacsenko azonnal riasztotta a GrowDiary-t, akik öt nappal később biztosították a kiszivárgó adatokat.

Mivel a GrowDiary nem kapott további észrevételeket az incidensről, Diachenko nem rendelkezik szilárd bizonyítékokkal arra vonatkozóan, hogy más harmadik felek illegálisan jutottak volna hozzá az adatokhoz, de ezt valószínűnek tartja. Abban az esetben, ha az adatokhoz valóban hozzáférnek, és egyes részeiket ellopják, ez sok gondot okozhat a GrowDiary-felhasználók számára, attól függően, hogy ki birtokolta őket, és mit döntöttek vele.

A nagyon nyilvánvaló jelszó kitöltési helyszínen kívül, amelyet a rossz színészek a visszafejtett jelszavakkal elvihetnek, a zsarolásnak sokkal rosszabb a lehetősége. Annyi GrowDiary-felhasználóval olyan országokban, ahol a marihuána termesztése illegális, nagyon komoly zsarolási fenyegetésekkel szembesülhetnek, amelyeknek valós jogi következményei lehetnek, ha a rossz szereplők követik az esetleges fenyegetéseket.

Sajnos ez egy másik eset, ahol bármennyire is biztonságos és összetett a jelszava, az a tény, hogy a szolgáltatás rosszul titkosított formátumban tárolja, felszámol minden erőfeszítést a biztonság érdekében.

November 6, 2020

Válaszolj