Η μαζική παραβίαση δεδομένων χτυπά εκατομμύρια καλλιεργητές κάνναβης
Το GrowDiaries, μια κοινοτική πλατφόρμα για νόμιμους καλλιεργητές κάνναβης που τους επιτρέπει να παρακολουθούν την παραγωγή τους, έγινε το τελευταίο θύμα μιας παραβίασης δεδομένων.
Το GrowDiaries ξεκίνησε ως ένα μέρος που επιτρέπει στους χρήστες του να κάνουν "λεπτομερή παρακολούθηση των πρακτικών καλλιέργειας κάνναβης". Προσφέρει εργαλεία παρακολούθησης και ψηφιακό περιοδικό επίσης. Η ιστοσελίδα της εταιρείας δηλώνει ότι το GrowDiaries είναι "απολύτως ασφαλές στη χρήση και αποθήκευση πληροφοριών".
Ωστόσο, ο ερευνητής ασφαλείας Volodymyr Diachenko ανακάλυψε μια βάση δεδομένων GrowDiaries που περιείχε 1,4 εκατομμύρια εγγραφές χρηστών, συμπεριλαμβανομένων διευθύνσεων IP και e-mail, καθώς και 2 εκατομμύρια περαιτέρω εγγραφές που σχετίζονται με αναρτήσεις χρηστών στην πλατφόρμα και κωδικούς πρόσβασης λογαριασμού που είχαν τουλάχιστον αποθηκευτεί σε κατακερματισμένη μορφή.
Ακόμα, όπως επεσήμανε ο Diachenko, η μέθοδος κατακερματισμού που χρησιμοποιήθηκε ήταν το MD5, το οποίο απέχει πολύ από την ασφάλεια - στην πραγματικότητα υπάρχουν δωρεάν εργαλεία στο διαδίκτυο που προσφέρουν αποκρυπτογράφηση συμβολοσειρών που έχουν κατακερματιστεί χρησιμοποιώντας το MD5, οπότε η απόκτηση των κωδικών πρόσβασης απλού κειμένου των χρηστών που χρησιμοποιούν τα εκτεθειμένα αρχεία θα να είναι παιδικό παιχνίδι για κακούς ηθοποιούς.
Οι διευθύνσεις IP στη βάση δεδομένων περιλάμβαναν επίσης πολλές που προέρχονται από αμερικανικές πολιτείες και άλλες χώρες, όπου η καλλιέργεια κάνναβης δεν είναι νόμιμη.
Ο λόγος για τον οποίο οι βάσεις δεδομένων ήταν προσβάσιμες είναι ότι το GrowDiaries άφησε δύο μη ασφαλείς παρουσίες πλατφόρμας Kibana. Μετά την ανακάλυψή του για τα ελαττωματικά περιστατικά Kibana, ο Diachenko ειδοποίησε αμέσως τους GrowDiaries, οι οποίοι εξασφάλισαν τα δεδομένα διαρροής πέντε ημέρες αργότερα.
Χωρίς περαιτέρω σχόλια σχετικά με το περιστατικό από τους GrowDiaries, ο Diachenko δεν έχει κανένα αποδεικτικό στοιχείο ότι άλλα τρίτα μέρη είχαν πρόσβαση παράνομα στα δεδομένα, αλλά πιστεύουν ότι αυτό είναι πιθανό. Σε περίπτωση που τα δεδομένα έχουν πράγματι προσπελαστεί και τμήματα από αυτά κλαπεί, αυτό θα μπορούσε να προκαλέσει πολλά προβλήματα για τους χρήστες του GrowDiaries, ανάλογα με το ποιος το κατέλαβε και τι επέλεξαν να κάνουν με αυτά.
Εκτός από τον πολύ προφανή χώρο γεμίσματος κωδικών πρόσβασης που μπορεί να παίρνουν οι κακοί ηθοποιοί με τους αποκρυπτογραφημένους κωδικούς πρόσβασης, υπάρχει η πολύ χειρότερη πιθανότητα εκβιασμού. Με τόσους πολλούς χρήστες του GrowDiaries σε χώρες όπου η καλλιέργεια μαριχουάνας είναι παράνομη, θα μπορούσαν να αντιμετωπίσουν πολύ σοβαρές απειλές εκβιασμού που θα μπορούσαν να έχουν πραγματικές νομικές συνέπειες εάν κακοί ηθοποιοί ακολουθήσουν πιθανές απειλές.
Δυστυχώς, αυτή είναι μια άλλη περίπτωση όπου ανεξάρτητα από το πόσο ασφαλής και περίπλοκος είναι ο κωδικός πρόσβασής σας, το γεγονός ότι η υπηρεσία την αποθηκεύει σε κακώς κρυπτογραφημένη μορφή ακυρώνει όλες τις προσπάθειές σας για να παραμείνετε ασφαλείς.
