Una massiccia violazione dei dati colpisce milioni di coltivatori di cannabis
GrowDiary, una piattaforma comunitaria per coltivatori legali di cannabis che consente loro di monitorare la loro produzione, è diventata l'ultima vittima di una violazione dei dati.
GrowDiary è nato come un luogo che consente ai suoi utenti di fare "tracciamento dettagliato delle pratiche di coltivazione della cannabis". Offre anche strumenti di monitoraggio e un diario digitale. Il sito web della società afferma che GrowDiary è "completamente sicuro da usare e archiviare informazioni su".
Tuttavia, il ricercatore di sicurezza Volodymyr Diachenko ha scoperto un database GrowDiary contenente 1,4 milioni di record utente, inclusi indirizzi IP ed e-mail, oltre a 2 milioni di ulteriori record relativi ai post degli utenti sulla piattaforma e alle password degli account che erano almeno memorizzate in forma hash.
Tuttavia, come ha sottolineato Diachenko, il metodo di hashing utilizzato era MD5, che è tutt'altro che sicuro: in realtà ci sono strumenti gratuiti online che offrono la decrittazione di stringhe che sono state sottoposte ad hashing utilizzando MD5, quindi ottenere le password in testo normale degli utenti che utilizzano i record esposti sarebbe essere un gioco da ragazzi per i cattivi attori.
Gli indirizzi IP nel database includevano anche molti che provengono da stati degli Stati Uniti e altri paesi, dove la coltivazione della cannabis non è legale.
Il motivo per cui i database erano accessibili è che GrowDiary ha lasciato due istanze della piattaforma Kibana non protette. Dopo la sua scoperta delle istanze difettose di Kibana, Diachenko ha immediatamente allertato GrowDiary, che cinque giorni dopo ha protetto i dati persi.
Senza ulteriori commenti sull'incidente da GrowDiary, Diachenko non ha prove concrete che altre terze parti abbiano avuto accesso illegale ai dati, ma ritiene che ciò sia probabile. Nel caso in cui i dati siano stati effettivamente consultati e parti di essi rubate, ciò potrebbe creare molti problemi per gli utenti di GrowDiary, a seconda di chi li ha acquisiti e di cosa hanno scelto di farne.
A parte l'ovvio luogo di riempimento delle password che i cattivi attori potrebbero prendere con le password decrittografate, c'è la possibilità molto peggiore di estorsione. Con così tanti utenti GrowDiary in paesi in cui la coltivazione della marijuana è illegale, potrebbero trovarsi di fronte a minacce di estorsione molto gravi che potrebbero avere conseguenze legali reali se i malintenzionati seguissero ogni possibile minaccia.
Purtroppo, questo è un altro caso in cui non importa quanto sia sicura e complessa la tua password, il fatto che il servizio la memorizzi in un formato mal crittografato annulla tutti i tuoi sforzi per rimanere al sicuro.
