ИБ-исследователь Боб Дьяченко сообщил, что GrowDiaries, сайт сообщества, где производители каннабиса могут вести журнал и делиться информацией о росте своих растений, раскрыл более 3,4 млн записей его участников.
Незащищенная база данных обнаружилась в сети 10 октября 2020 года. Она включает 1,4 млн записей с адресами электронной почты и IP-адресами пользователей GrowDiaries, а также 2 млн записей сообщений и хешированные пароли учетных записей. Пароли хешировались с использованием MD5, устаревшего алгоритма, который легко взломать, чтобы получить доступ к обычным текстовым паролям.
Раскрытые IP-адреса относятся, в том числе, к тем странам, в которых марихуана запрещена законом.
Система BinaryEdge проиндексировала БД еще 22 сентября. 10 октября Дьяченко сообщил об инциденте GrowDiaries. 12 октября площадка попросила предоставить дополнительные сведения. 15 октября утечку данных устранили.
База данных включала два блока. Первый состоял из 1 427 347 записей, содержащих адреса электронной почты, IP-адреса, имена пользователей. Второй, названный «отчетами», включал около 2 млн записей: публикации пользователей, включая обновления, вопросы и ответы, MD5-хешированные пароли учетной записи, URL изображений, метки времени публикации, адреса электронной почты и имена.
Никаких платежных данных раскрыто не было.
Однако теперь, как утверждает Дьяченко, пользователи GrowDiaries могут подвергаться риску возможных атак и угроз. Так, взломанные пароли могут быть использованы в атаках на другие их учетные записи. Автоматизированный бот будет искать те же комбинации электронной почты и пароля на других сайтах и ??в приложениях.
Но многих ожидают и более серьезные последствия. Пользователи стран, где выращивание и употребление марихуаны запрещено, могут столкнуться с судебным преследованием, а также с вымогательствами.
Наконец, пользователям GrowDiaries грозит целевой фишинг. Письма и сообщения могут приходить от мошенников, выдающих себя за GrowDiaries или связанную с ними компанию, но содержать вредоносные ссылки и файлы.
Информации о точном числе пользователей GrowDiaries нет, но, как предположил Дьяченко, от утечки пострадали все из них. При этом ранее GrowDiaries не была замечена в инцидентах с данными.
См. также:
namikiri
Пожалуйста, загружайте иллюстрации на Хабрасторожа.
Squoworode
Если я правильно помню, Хабрасторож сам через какое-то время все картинки молча уносит к себе.
abar
Программисты накосячили. Скоро исправят!
Вообще не удивлюсь, если потом окажется, что сайт заказали представители спецслужб или полиции какой-нибудь из стран, а торчащая наружу БД со всеми паролями и метаданными — не баг, но фича, за которую доплатили отдельно.
namikiri
А ещё ну прям классика — снова эластик без авторизации. Ну потому что реляционные БД — слишком сложна, не модно, они, гады такие, постоянно заколёбывают с настройкой авторизации, пароли какие-то там требуют, да ну! Лучше эластик накатим и даже не будем пытаться настроить там защиту, кому оно надо, не заплатили же дополнительно за это, чушь какая.
mSnus
Все проще — разработчики сайта курили то, чему посвящён сайт прямо в процессе разработки. И вот тот волшебный розовый единорог клялся, что база надёжно защищена!
sim2q
Забыли просто, ну вы знаете как это бывает:)
извините:)
nikolayv81
Да какая проблема с рсубд admin/admin и на внешний адрес :)
namikiri
Чтобы оно так заработало, его нужно сконфигурировать. А модные эластики и монги так работают по умолчанию, в этом вся и проблема.
podde
Отличный подарок правоохранителям всех стран на Рождество.
Dmitry88
наверняка обсуждают выращивание технической конопли.
C_21
Фермерам это как минимум грозит потерей урожая. А если вовремя теплицы не приведут в порядок, в соответствии с местной аграрной политикой, то отправятся по библиотекам.
RedComrade
Взломайте мне пожалуйста вот этот MD5 хэш: bc4b263bcbba9783b52edb8277333281,
даю подсказку, в исходном сообщении всего 34 символа…
Каюсь, у меня бомбануло просто от не корректной формулировки
Vinchi
Вот да. А че никто не выложит ссылку на торрент с базой? Или она пока в продаже?
Nordicx86
вопрос цены вопроса — и того насколько для вас это важно и нужно…
Thebear
Вести бложек с доказательствами собственной противозаконной деятельности, какие умнички.
piton-vas
Не во всех странах это противозаконно.
Ну и правила безопасности никто не отменял. Впн, отдельные пароли и логины. Одминам ресурса тоже не стоит доверять.