Ogromne naruszenie danych uderza w miliony hodowców konopi
GrowDiaries, platforma społecznościowa dla legalnych hodowców konopi, która umożliwia im śledzenie ich produkcji, stała się ostatnią ofiarą naruszenia danych.
GrowDiaries zaczęło się jako miejsce, które umożliwia swoim użytkownikom „szczegółowe śledzenie praktyk uprawy konopi”. Oferuje narzędzia do śledzenia i dziennik cyfrowy. Na własnej stronie internetowej firmy stwierdza się, że GrowDiaries jest „całkowicie bezpieczny w użyciu i przechowywaniu informacji”.
Jednak badacz bezpieczeństwa Volodymyr Diachenko odkrył bazę danych GrowDiaries zawierającą 1,4 miliona rekordów użytkowników, w tym adresy IP i e-maile, a także 2 miliony kolejnych rekordów związanych z postami użytkowników na platformie i hasłami do kont, które były przynajmniej przechowywane w postaci zaszyfrowanej.
Mimo to, jak zauważył Diachenko, zastosowaną metodą haszowania była MD5, która nie jest bezpieczna - w rzeczywistości istnieją darmowe narzędzia online, które oferują odszyfrowanie ciągów znaków, które zostały zaszyfrowane przy użyciu MD5, więc uzyskanie haseł w postaci zwykłego tekstu użytkowników korzystających z ujawnionych rekordów bądź dziecinną zabawą dla złych aktorów.
Wśród adresów IP w bazie danych znalazło się również wiele adresów pochodzących ze stanów USA i innych krajów, w których uprawa konopi nie jest legalna.
Powodem, dla którego bazy danych były dostępne, jest to, że GrowDiaries pozostawiło dwie niezabezpieczone instancje platformy Kibana. Po odkryciu wadliwych instancji Kibany Diachenko natychmiast powiadomił GrowDiaries, który pięć dni później zabezpieczył nieszczelne dane.
Bez dalszych komentarzy na temat incydentu z GrowDiaries, Diachenko nie ma twardych dowodów na to, że inne osoby trzecie nielegalnie uzyskały dostęp do danych, ale uważa, że jest to prawdopodobne. W przypadku, gdy rzeczywiście uzyskano dostęp do danych i ich części zostały skradzione, może to oznaczać wiele problemów dla użytkowników GrowDiaries, w zależności od tego, kto je zdobył i co z nimi zrobili.
Oprócz bardzo oczywistego miejsca do upychania haseł, które złoczyńcy mogą zabrać z odszyfrowanymi hasłami, istnieje znacznie gorsza możliwość wyłudzenia. Przy tak dużej liczbie użytkowników GrowDiaries w krajach, w których uprawa marihuany jest nielegalna, mogą spotkać się z bardzo poważnymi groźbami wymuszenia, które mogą mieć realne konsekwencje prawne, jeśli źli aktorzy zastosują się do wszelkich możliwych zagrożeń.
Niestety, jest to kolejny przypadek, w którym bez względu na to, jak bezpieczne i złożone jest Twoje hasło, fakt, że usługa przechowuje je w słabo zaszyfrowanym formacie, anuluje wszystkie Twoje wysiłki, aby zachować bezpieczeństwo.
