Violação maciça de dados atinge milhões de produtores de cannabis
GrowDiaries, uma plataforma de comunidade para produtores de cannabis legais que lhes permite rastrear sua produção, se tornou a última vítima de uma violação de dados.
GrowDiaries começou como um lugar que permite que seus usuários façam "rastreamento detalhado das práticas de cultivo de cannabis". Ele oferece ferramentas de rastreamento e também um diário digital. O próprio site da empresa afirma que GrowDiaries é "completamente seguro para usar e armazenar informações sobre".
No entanto, o pesquisador de segurança Volodymyr Diachenko descobriu um banco de dados GrowDiaries contendo 1,4 milhão de registros de usuários, incluindo endereços IP e e-mails, bem como 2 milhões de registros relacionados a postagens de usuários na plataforma e senhas de contas que foram pelo menos armazenadas em forma de hash.
Ainda assim, como Diachenko apontou, o método de hashing usado foi o MD5, que está longe de ser seguro - na verdade, existem ferramentas gratuitas online que oferecem a descriptografia de strings que foram hashadas usando MD5, portanto, obter as senhas em texto simples dos usuários usando os registros expostos seria ser brincadeira de criança para maus atores.
Os endereços IP no banco de dados também incluíam muitos originários dos estados dos EUA e de outros países, onde o cultivo de cannabis não é legal.
A razão pela qual os bancos de dados estavam acessíveis é que GrowDiaries deixou duas instâncias da plataforma Kibana não seguras. Após sua descoberta das instâncias Kibana com defeito, Diachenko alertou imediatamente a GrowDiaries, que protegeu os dados vazados cinco dias depois.
Sem comentários adicionais sobre o incidente da GrowDiaries, Diachenko não tem nenhuma evidência concreta de que outros terceiros acessaram ilegalmente os dados, mas pensa que isso é provável. No caso de os dados terem sido realmente acessados e partes deles roubadas, isso poderia significar muitos problemas para os usuários do GrowDiaries, dependendo de quem os obteve e o que eles escolheram fazer com eles.
Além do óbvio local de preenchimento de senhas que os malfeitores podem usar com as senhas descriptografadas, existe a possibilidade muito pior de extorsão. Com tantos usuários do GrowDiaries em países onde o cultivo de maconha é ilegal, eles podem estar enfrentando ameaças de extorsão muito sérias que podem ter consequências legais reais se os criminosos seguirem em frente com qualquer ameaça possível.
Infelizmente, esta é outra instância em que, não importa o quão segura e complexa seja sua senha, o fato de o serviço estar armazenando-a em um formato criptografado de forma inadequada cancela todos os seus esforços para permanecer seguro.
