Masinis duomenų pažeidimas patiria milijonus kanapių augintojų

„GrowDiary“ - legalių kanapių augintojų bendruomenės platforma, leidžianti sekti jų gamybą, tapo naujausia duomenų pažeidimo auka.

„GrowDiary“ prasidėjo kaip vieta, leidžianti jos vartotojams „išsamiai sekti kanapių auginimo praktiką“. Jis taip pat siūlo stebėjimo įrankius ir skaitmeninį žurnalą. Pačios įmonės svetainėje teigiama, kad „GrowDaries“ yra „visiškai saugu naudoti ir saugoti informaciją“.

Tačiau saugumo tyrėjas Volodymyras Diachenko atrado „GrowDiary“ duomenų bazę, kurioje buvo 1,4 milijono vartotojų įrašų, įskaitant IP adresus ir el. Laiškus, taip pat dar 2 milijonai kitų įrašų, susijusių su vartotojo įrašais platformoje ir paskyros slaptažodžiais, kurie buvo bent jau saugomi maišos forma.

Vis dėlto, kaip pabrėžė Diachenko, maišos metodas buvo MD5, kuris toli gražu nėra saugus - internete iš tikrųjų yra nemokamų įrankių, kurie siūlo iššifruoti eilučių, kurios buvo maišos naudojant MD5, iššifravimą. būti vaikų žaidimu blogiems aktoriams.

Į duomenų bazės IP adresus taip pat pateko daugybė JAV valstijų ir kitų šalių, kuriose kanapių auginimas nėra teisėtas.

Priežastis, kodėl duomenų bazės buvo prieinamos, yra ta, kad „GrowDiary“ paliko du neužtikrintus „Kibana“ platformos egzempliorius. Aptikęs klaidingų „Kibana“ atvejų, Diačenka nedelsdamas įspėjo „GrowDiary“, kurie po penkių dienų užtikrino nutekėjusius duomenis.

„GrowDiary“ daugiau nekomentuodama įvykio, Diachenko neturi rimtų įrodymų, kad kitos trečiosios šalys neteisėtai susipažino su duomenimis, tačiau mano, kad tai tikėtina. Jei prie duomenų tikrai buvo prieinama ir jų dalys buvo pavogtos, tai gali sukelti daug problemų „GrowDiary“ vartotojams, priklausomai nuo to, kas juos gavo ir ką jie nusprendė su jais daryti.

Be labai akivaizdžios slaptažodžių įdėjimo vietos, kurią blogi aktoriai gali pasiimti su iššifruotais slaptažodžiais, yra daug blogesnė turto prievartavimo galimybė. Tiek daug „GrowDiary“ vartotojų tose šalyse, kur marihuanos auginimas yra neteisėtas, jie gali susidurti su labai rimtomis turto prievartavimo grėsmėmis, kurios gali turėti realių teisinių pasekmių, jei blogi veikėjai imsis visų galimų grėsmių.

Deja, tai yra dar vienas atvejis, kai nesvarbu, koks saugus ir sudėtingas yra jūsų slaptažodis, tai, kad tarnyba jį saugo prastai šifruotu formatu, panaikina visas jūsų pastangas išlikti saugiems.

November 6, 2020

Palikti atsakymą