Portada » Home » Problema de la configuración expone las contraseñas de dos millones de cultivadores de marihuana

Problema de la configuración expone las contraseñas de dos millones de cultivadores de marihuana

GrowDiaries , una comunidad en línea donde los cultivadores de marihuana pueden bloguear sobre sus plantas e interactuar con otros agricultores, sufrió una brecha de seguridad en septiembre de este año.

La violación se produjo después de que la empresa dejara expuestas dos aplicaciones de Kibana en Internet sin contraseñas administrativas.

Las  aplicaciones de Kibana normalmente las utiliza el personal de desarrollo y TI de una empresa, ya que la aplicación permite a los programadores administrar las bases de datos de Elasticsearch a través de una interfaz visual sencilla basada en la web.

Debido a sus características nativas, proteger las aplicaciones de Kibana es tan importante como proteger las bases de datos.

Pero en un  informe publicado hoy en LinkedIn , Bob Diachenko, un investigador de seguridad conocido por descubrir y reportar bases de datos no seguras, dijo que GrowDiaries no pudo proteger dos de sus aplicaciones Kibana, que parecen haber estado expuestas en línea sin contraseña desde el 22 de septiembre de 2020. .

Diachenko dice que estas dos aplicaciones de Kibana les otorgaron a los atacantes acceso a dos conjuntos de bases de datos de Elasticsearch, una de las cuales almacena 1.4 millones de registros de usuarios y la segunda contiene más de dos millones de puntos de datos de usuarios.

Cronología de la exposición

No se proporcionó texto alternativo para esta imagen

GrowDiaries expuso dos instancias de Kibana no seguras idénticas. Esto es lo que sé que sucedió:

  • 22 de septiembre de 2020: la base de datos fue indexada por el motor de búsqueda BinaryEdge
  • 10 de octubre de 2020: descubrí la base de datos e inmediatamente alerté a GrowDiaries.
  • 12 de octubre de 2020: GrowDiaries me respondió solicitando detalles adicionales.
  • 15 de octubre de 2020: Se aseguraron los datos.

¿Qué datos se expusieron?

La base de datos incluía dos grandes índices de datos de usuarios.

El primero, denominado «usuarios», constaba de 1.427.347 registros que contenían:

  • Dirección de correo electrónico
  • dirección IP
  • Nombre de usuario

El segundo, denominado «informes», incluía alrededor de dos millones de registros:

  • Publicaciones de usuarios que incluyen actualizaciones de crecimiento y preguntas y respuestas
  • Contraseña de cuenta con hash MD5
  • URL de imagen
  • Publicar marcas de tiempo
  • Dirección de correo electrónico
  • Nombre de usuario

Las contraseñas son de especial interés. Fueron codificados (cifrados) con MD5, un algoritmo obsoleto con una serie de fallas de seguridad conocidas. Si un atacante lograba acceder a los datos, fácilmente podría descifrar las contraseñas.