Миллионы производителей каннабиса пострадали от массовой утечки данных
GrowDiaries, платформа сообщества для легальных производителей каннабиса, которая позволяет им отслеживать их производство, стала последней жертвой утечки данных.
GrowDiaries начиналась как место, которое позволяет пользователям «детально отслеживать методы выращивания каннабиса». Он также предлагает инструменты отслеживания и электронный журнал. На собственном веб-сайте компании указано, что GrowDiaries «полностью безопасна для использования и хранения информации».
Однако исследователь безопасности Владимир Дьяченко обнаружил базу данных GrowDiaries, содержащую 1,4 миллиона записей пользователей, включая IP-адреса и электронную почту, а также еще 2 миллиона записей, связанных с сообщениями пользователей на платформе и паролями учетных записей, которые, по крайней мере, хранились в хешированной форме.
Тем не менее, как указал Дьяченко, использовался метод хеширования MD5, что далеко не безопасно - на самом деле в Интернете есть бесплатные инструменты, предлагающие расшифровку строк, хешированных с использованием MD5, поэтому получение паролей в виде простого текста пользователей, использующих открытые записи, может быть детской забавой для плохих актеров.
Многие из IP-адресов в базе данных были из штатов США и других стран, где выращивание каннабиса незаконно.
Причина, по которой базы данных были доступны, заключается в том, что GrowDiaries оставила два незащищенных экземпляра платформы Kibana. Обнаружив неисправные экземпляры Kibana, Дьяченко немедленно предупредил GrowDiaries, которая через пять дней получила утечки данных.
Поскольку GrowDiaries не комментирует инцидент, Дьяченко не имеет веских доказательств того, что другие третьи стороны незаконно получили доступ к данным, но считает, что это вполне вероятно. В случае, если к данным действительно был осуществлен доступ и их части были украдены, это могло создать массу проблем для пользователей GrowDiaries, в зависимости от того, кто их получил и что они решили с ними делать.
Помимо очень очевидного места для набивки паролей, которое злоумышленники могут использовать с расшифрованными паролями, существует гораздо худшая возможность вымогательства. При таком большом количестве пользователей GrowDiaries в странах, где выращивание марихуаны является незаконным, они могут столкнуться с очень серьезными угрозами вымогательства, которые могут иметь реальные юридические последствия, если злоумышленники воспользуются любыми возможными угрозами.
К сожалению, это еще один случай, когда независимо от того, насколько безопасным и сложным является ваш пароль, тот факт, что служба хранит его в плохо зашифрованном формате, сводит на нет все ваши усилия по обеспечению безопасности.