Massale gegevensinbreuk treft miljoenen cannabistelers

GrowDiarys, een communityplatform voor legale cannabistelers waarmee ze hun productie kunnen volgen, werd het laatste slachtoffer van een datalek.

GrowDiary begon als een plek waar gebruikers "gedetailleerde tracking van cannabisteeltmethoden" konden uitvoeren. Het biedt ook trackingtools en een digitaal dagboek. Op de eigen website van het bedrijf staat dat GrowDiary "volkomen veilig is om informatie te gebruiken en op te slaan".

Beveiligingsonderzoeker Volodymyr Diachenko ontdekte echter een GrowDiary-database met 1,4 miljoen gebruikersrecords, inclusief IP-adressen en e-mails, evenals 2 miljoen andere records met betrekking tot gebruikersposten op het platform en accountwachtwoorden die op zijn minst in gehashte vorm waren opgeslagen.

Toch, zoals Diachenko opmerkte, was de gebruikte hashing-methode MD5, wat verre van veilig is - er zijn eigenlijk gratis tools online die decodering bieden van strings die zijn gehasht met MD5, dus het verkrijgen van wachtwoorden in platte tekst van gebruikers die de blootgestelde records gebruiken, zou kinderspel zijn voor slechte acteurs.

De IP-adressen in de database bevatten ook veel die afkomstig zijn uit Amerikaanse staten en andere landen, waar het kweken van cannabis niet legaal is.

De reden waarom de databases toegankelijk waren, is dat GrowDiary twee onbeveiligde Kibana-platforminstanties heeft achtergelaten. Na zijn ontdekking van de defecte Kibana-instanties, waarschuwde Diachenko onmiddellijk GrowDiarys, die de lekkende gegevens vijf dagen later veiligstelde.

Zonder verdere opmerkingen over het incident van GrowDiarys, heeft Diachenko geen hard bewijs dat andere derden illegaal toegang hebben gehad tot de gegevens, maar denkt dat dit waarschijnlijk is. In het geval dat de gegevens inderdaad worden geopend en delen ervan worden gestolen, kan dit veel problemen opleveren voor GrowDiary-gebruikers, afhankelijk van wie ze in handen heeft gekregen en wat ze ermee wilden doen.

Afgezien van de zeer voor de hand liggende locatie voor het vullen van wachtwoorden die slechte actoren zouden kunnen nemen met de gedecodeerde wachtwoorden, is er de veel ergere mogelijkheid van afpersing. Met zoveel GrowDiary-gebruikers in landen waar het kweken van marihuana illegaal is, kunnen ze worden geconfronteerd met zeer ernstige afpersingsdreigingen die echte juridische gevolgen kunnen hebben als slechte actoren eventuele dreigingen opvolgen.

Helaas is dit een ander geval waarbij, hoe veilig en complex uw wachtwoord ook is, het feit dat de service het in een slecht gecodeerde indeling opslaat, al uw inspanningen om veilig te blijven teniet doet.

November 6, 2020

Laat een antwoord achter