Une violation massive des données frappe des millions de producteurs de cannabis
GrowDiaries, une plate-forme communautaire pour les cultivateurs de cannabis légaux qui leur permet de suivre leur production, est devenue la dernière victime d'une violation de données.
GrowDiaries a commencé comme un endroit qui permet à ses utilisateurs de faire un «suivi détaillé des pratiques de culture du cannabis». Il propose également des outils de suivi et un journal numérique. Le propre site Web de la société déclare que GrowDiaries est «totalement sûr à utiliser et à stocker des informations».
Cependant, le chercheur en sécurité Volodymyr Diachenko a découvert une base de données GrowDiaries contenant 1,4 million d'enregistrements d'utilisateurs, y compris des adresses IP et des e-mails, ainsi que 2 millions d'autres enregistrements liés aux publications des utilisateurs sur la plate-forme et aux mots de passe des comptes qui étaient au moins stockés sous forme hachée.
Pourtant, comme l'a souligné Diachenko, la méthode de hachage utilisée était MD5, qui est loin d'être sécurisée - il existe en fait des outils gratuits en ligne qui offrent le décryptage des chaînes hachées à l'aide de MD5, donc obtenir les mots de passe en texte brut des utilisateurs utilisant les enregistrements exposés serait être un jeu d'enfant pour les mauvais acteurs.
Les adresses IP dans la base de données comprenaient également de nombreuses adresses provenant d'États américains et d'autres pays, où la culture du cannabis n'est pas légale.
La raison pour laquelle les bases de données étaient accessibles est que GrowDiaries a laissé deux instances de plate-forme Kibana non sécurisées. Après avoir découvert les instances Kibana défectueuses, Diachenko a immédiatement alerté GrowDiaries, qui a sécurisé les données qui fuyaient cinq jours plus tard.
En l'absence d'autres commentaires sur l'incident de GrowDiaries, Diachenko n'a aucune preuve tangible que d'autres tiers aient accédé illégalement aux données, mais pense que c'est probable. Dans le cas où les données seraient effectivement consultées et des parties volées, cela pourrait entraîner beaucoup de problèmes pour les utilisateurs de GrowDiaries, selon qui les a mis la main sur et ce qu'ils ont choisi d'en faire.
Outre le lieu très évident de bourrage de mots de passe que les mauvais acteurs pourraient prendre avec les mots de passe déchiffrés, il existe une bien pire possibilité d'extorsion. Avec autant d'utilisateurs de GrowDiaries dans des pays où la culture de marijuana est illégale, ils pourraient être confrontés à de très graves menaces d'extorsion qui pourraient avoir de réelles conséquences juridiques si de mauvais acteurs donnent suite à d'éventuelles menaces.
Malheureusement, il s'agit d'un autre cas où, quelle que soit la sécurité et la complexité de votre mot de passe, le fait que le service le stocke dans un format mal crypté annule tous vos efforts pour rester en sécurité.