大規模數據洩露打擊了數百萬大麻種植者

GrowDiaries是合法大麻種植者的社區平台,使他們能夠跟踪自己的生產,成為數據洩露的最新受害者。

GrowDiaries最初是一個允許其用戶執行“詳細跟踪大麻種植習慣”的地方。它還提供跟踪工具和數字日記本。該公司自己的網站指出,GrowDiaries“在使用和存儲信息方面完全安全”。

但是,安全研究員Volodymyr Diachenko發現了一個GrowDiaries數據庫,該數據庫包含140萬條用戶記錄,包括IP地址和電子郵件,以及200萬條與平台上用戶帖子和帳戶密碼相關的其他記錄,這些記錄至少以散列形式存儲。

不過,正如Diachenko所指出的那樣,使用的哈希方法是MD5,這遠非安全之舉-實際上,在線上有免費的工具可以解密使用MD5哈希的字符串,因此使用公開記錄獲取用戶的純文本密碼會扮演壞演員的孩子。

數據庫中的IP地址還包括許多源自美國各州和其他國家(在這些國家非法種植大麻)。

可訪問數據庫的原因是GrowDiaries留下了兩個不安全的Kibana平台實例。發現有故障的Kibana實例後,Diachenko立即通知GrowDiaries,後者在五天后確保了洩漏數據的安全。

沒有來自GrowDiaries的事件進一步評論,Diachenko沒有確鑿的證據表明其他第三方非法訪問了該數據,但他認為這很可能。萬一確實訪問了數據並且部分數據被盜,這對於GrowDiaries用戶可能會造成很多麻煩,這取決於誰擁有它以及他們選擇如何處理。

除了很明顯的壞行為者可能會使用解密密碼來填充密碼的地方外,勒索的可能性也更大。在種植非法大麻的國家中,有如此多的GrowDiaries用戶,他們可能會面臨非常嚴重的勒索威脅,如果不良行為者對任何可能的威脅採取後續行動,則可能會產生真正的法律後果。

令人遺憾的是,這是另一個實例,無論您的密碼多麼安全和復雜,該服務以一種加密程度較差的格式存儲密碼的事實都抵消了您為確保安全所做的一切努力。

November 6, 2020

發表評論