大规模数据泄露打击了数百万大麻种植者

GrowDiaries是合法大麻种植者的社区平台,使他们能够跟踪自己的生产,成为数据泄露的最新受害者。

GrowDiaries最初是一个允许其用户执行“详细跟踪大麻种植习惯”的地方。它还提供跟踪工具和数字日记本。该公司自己的网站指出,GrowDiaries“在使用和存储信息方面完全安全”。

但是,安全研究员Volodymyr Diachenko发现了一个GrowDiaries数据库,其中包含140万条用户记录,包括IP地址和电子邮件,以及200万条与平台上用户帖子和帐户密码相关的其他记录,这些记录至少以散列形式存储。

不过,正如Diachenko所指出的那样,使用的哈希方法是MD5,这远非安全之举-实际上,在线上有免费的工具可以解密使用MD5哈希的字符串,因此使用公开记录获取用户的纯文本密码会扮演坏演员的孩子。

数据库中的IP地址还包括许多源自美国各州和其他国家(在这些国家非法种植大麻)。

可访问数据库的原因是GrowDiaries留下了两个不安全的Kibana平台实例。发现有故障的Kibana实例后,Diachenko立即通知GrowDiaries,后者在五天后确保了泄漏数据的安全。

没有来自GrowDiaries的事件进一步评论,Diachenko没有确凿的证据表明其他第三方非法访问了该数据,但他认为这很可能。万一确实访问了数据并且部分数据被盗,这对于GrowDiaries用户可能会造成很多麻烦,这取决于谁拥有它以及他们选择如何处理。

除了很明显的坏行为者可能会使用解密密码来填充密码的地方外,勒索的可能性也更大。在那些种植大麻是非法的国家中,有如此多的GrowDiaries用户,他们可能会面临非常严重的勒索威胁,如果不良行为者采取任何可能的威胁,则可能会产生真正的法律后果。

令人遗憾的是,这是另一个实例,无论您的密码多么安全和复杂,该服务以一种加密程度较差的格式存储密码的事实都抵消了您为确保安全所做的一切努力。

November 6, 2020

发表评论