大規模なデータ漏えいが何百万もの大麻栽培者を襲う

GrowDiariesは、合法的な大麻栽培者が生産を追跡できるようにするためのコミュニティプラットフォームであり、データ侵害の最新の被害者になりました。

GrowDiariesは、ユーザーが「大麻栽培慣行の詳細な追跡」を行える場所として始まりました。追跡ツールとデジタルジャーナルも提供します。同社のウェブサイトには、GrowDiariesは「完全に安全に使用して情報を保存できる」と記載されています。

しかし、セキュリティ研究者のVolodymyr Diachenkoは、IPアドレスや電子メールを含む140万のユーザーレコードと、少なくともハッシュ形式で保存されたプラットフォーム上のユーザー投稿とアカウントパスワードに関連する200万のレコードを含むGrowDiariesデータベースを発見しました。

それでも、Diachenkoが指摘したように、使用されたハッシュ方法はMD5でしたが、これは安全とはほど遠いものです。実際には、MD5を使用してハッシュされた文字列の復号化を提供する無料のツールがオンラインにあるため、公開されたレコードを使用してユーザーのプレーンテキストのパスワードを取得します。悪い俳優のための子供の遊びになります。

データベース内のIPアドレスには、大麻の栽培が合法ではない米国の州やその他の国から発信されたものも多数含まれていました。

データベースにアクセスできる理由は、GrowDiariesが2つの保護されていないKibanaプラットフォームインスタンスを残したためです。欠陥のあるKibanaインスタンスを発見した後、DiachenkoはすぐにGrowDiariesに警告し、GrowDiariesは5日後に漏洩データを保護しました。

GrowDiariesからの事件についてこれ以上のコメントはなく、Diachenkoは、他の第三者がデータに違法にアクセスしたという確固たる証拠を持っていませんが、これは可能性が高いと考えています。データが実際にアクセスされ、その一部が盗まれた場合、誰がデータを入手し、何を選択したかによっては、GrowDiariesユーザーに多くの問題を引き起こす可能性があります。

悪意のある攻撃者が復号化されたパスワードを使用する可能性のある非常に明白なパスワードの詰め込み場所は別として、恐喝の可能性ははるかに低くなります。マリファナの栽培が違法である国では非常に多くのGrowDiariesユーザーがいるため、悪意のある人物が脅威を追跡した場合、実際の法的結果をもたらす可能性のある非常に深刻な恐喝の脅威に直面する可能性があります。

残念ながら、これは、パスワードがどれほど安全で複雑であっても、サービスが暗号化が不十分な形式でパスワードを保存しているという事実が、安全を維持するためのすべての努力を打ち消すという別の例です。

November 6, 2020

返信を残す