Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Deux applications Kibana non sécurisées exposent les mots de passe de deux millions de cultivateurs de marijuana,
Stockés en utilisant la fonction de hachage MD5 faible

Le , par Stan Adkens

24PARTAGES

4  0 
Quelque 3,4 millions d'enregistrements d'utilisateurs et de mots de passe d’utilisateur de GrowDiaries, une communauté en ligne où les cultivateurs de marijuana peuvent bloguer sur leurs plantes et interagir avec d'autres cultivateurs, ont été trouvés en ligne dans une base de données exposée au public, selon un nouveau rapport de Bob Diachenko, consultant indépendant en cybersécurité. Les mots de passe des utilisateurs de la plateforme ont été stockés en utilisant la fonction de hachage MD5 faible, ce qui a fait courir un risque d'attaque aux comptes des clients. Mais la faille a été résolue le mois dernier, selon le chercheur.

GrowDiaries, une plateforme communautaire basée aux États-Unis, permet aux utilisateurs de suivre les progrès de la culture du cannabis et de partager les mises à jour avec d'autres utilisateurs. Les utilisateurs peuvent comparer leur culture à celle d'autres utilisateurs et aux cycles précédents, obtenir des conseils de la part d'autres cultivateurs et gagner des prix. En général, les usagers publient des mises à jour sur leurs plantes environ une fois par semaine, selon le rapport de Diachenko.


Cette brèche s'est produite après que la société ait laissé deux applications Kibana exposées sur Internet sans mot de passe administratif. Les applications Kibana sont normalement utilisées par le personnel informatique et de développement d'une entreprise, car l'application permet aux programmeurs de gérer les bases de données Elasticsearch via une simple interface visuelle basée sur le Web. En raison de ses caractéristiques natives, la sécurisation des applications Kibana est tout aussi importante que la sécurisation des bases de données elles-mêmes.

Mais ce n’est pas ce qui s’est passé sur le site communautaire GrowDiaries. Dans son rapport publié mardi sur LinkedIn, Bob Diachenko, un chercheur en sécurité connu pour avoir découvert et signalé plusieurs bases de données non sécurisées, a déclaré que GrowDiaries n'avait pas réussi à sécuriser deux de ses applications Kibana, qui semblent être restées exposées en ligne sans mot de passe depuis le 22 septembre 2020.

Selon le consultant en cybersécurité, dès le 22 septembre 2020, la base de données a été indexée par le moteur de recherche BinaryEdge. Diachenko a découvert la base de données et immédiatement alerté les responsables de GrowDiaries le 10 octobre. Deux jours après le chercheur a répondu à une demande d’informations supplémentaires de la part du site Web. En fin de compte, les données ont été sécurisées le 15 octobre.

Diachenko affirme, selon le rapport, que ces deux applications Kibana ont permis aux attaquants d'accéder à deux grands index de données d'utilisateurs Elasticsearch, dont l'un contient 1,4 million d'enregistrements d'utilisateurs et le second plus de deux millions d’enregistrements contenant des messages d'utilisateurs.

Le premier, appelé "utilisateurs", exposait les noms d'utilisateurs, les adresses e-mail et les adresses IP, tandis que le second index de base de données, appelé "rapports", exposait également les articles des utilisateurs publiés sur le site GrowDiaries et les mots de passe des comptes des utilisateurs. Ce dernier contenait également des URL des images, l’horodatage des postes, les adresses électroniques et des noms d’utilisateurs.

Alors que les mots de passe étaient stockés dans un format haché, Diachenko a déclaré que le format était MD5, une fonction de hachage connue pour être peu sûre et craquable (permettant aux acteurs de la menace de déterminer la version en clair de chaque mot de passe).


Les utilisateurs de GrowDiaries pourraient être exposés à un certain nombre d'attaques éventuelles

L’équipe de Bob Diachenko recherche sur le Web les bases de données accessibles qui contiennent des informations personnelles. Lorsqu’elle rencontre des données exposées, elle enquête sur la nature de l'information ainsi que sur les personnes qui en sont responsables. Elle informe ensuite les propriétaires de la base de données, après avoir déterminé qui pourrait être affecté par l'exposition et l'impact potentiel.

Diachenko a déclaré qu'il avait signalé l'exposition des applications Kibana à GrowDiaries, qui a sécurisé son infrastructure cinq jours plus tard. Cependant, bien que GrowDiaries soit intervenue pour sécuriser son serveur, la société a refusé d'autres communications avec le chercheur en sécurité ukrainien. Il n'a donc pas pu déterminer si quelqu'un d'autre avait accédé aux bases de données Elasticsearch de la société pour télécharger les données des utilisateurs.

Selon le rapport de Diachenko, une telle situation était "probable", car il n'est certainement pas le seul à rechercher des bases de données exposées accidentellement. Le chercheur a dit également qu’il n’est pas certain du nombre d'utilisateurs de GrowDiaries, mais il semble probable que tous les utilisateurs aient été touchés par cet incident de données. Le site Web GrowDiaries prétend que la création d'un "diary" (journal) est "100% anonyme et sécurisé", mais cet incident suggère certainement le contraire.

L’ensemble des utilisateurs de GrowDiaries pourraient, par conséquent, être exposés à un certain nombre d'attaques et de menaces éventuelles. « Les mots de passe, une fois crackés, pourraient être utilisés dans des attaques de bourrage d'identifiants sur les autres comptes des utilisateurs. Les attaquants utiliseront un bot automatisé pour essayer les mêmes combinaisons de courrier électronique et de mots de passe sur d'autres sites et applications », lit-on dans le rapport.

Diachenko recommande aux utilisateurs de GrowDiaries de changer leurs mots de passe, juste au cas où les données se retrouveraient entre les mains de quelqu'un d'autre. Avec les mots de passe stockés au format MD5, leurs anciens mots de passe ne sont pas sûrs, et les comptes risquent d'être détournés, d’après le rapport.

Les utilisateurs de GrowDiaries doivent également être à l'affût des attaques de phishing ciblées. Le consultant en sécurité conseille aux utilisateurs de faire attention aux courriels et aux messages d'escrocs se faisant passer pour des utilisateurs de GrowDiaries ou une entreprise apparentée. « Ne cliquez jamais sur les liens ou les pièces jointes des courriels non sollicités et vérifiez toujours l'identité de l'expéditeur avant de répondre », a dit Diachenko.

Par ailleurs, selon le rapport, de nombreux utilisateurs du site Web semblent provenir d'endroits où la culture et la consommation de marijuana ne sont pas légales. Ces derniers pourraient faire face à des répercussions légales ou éventuellement à l'extorsion si leurs activités de culture sont révélées.

L’exposition de données utilisateur est devenue un thème récurrent ces dernières années. En novembre 2019, Risk Based Security a qualifié 2019 de « pire année jamais enregistrée » pour les infractions. Son rapport 2019 a montré que le nombre total de violations au cours de l’année a augmenté de 33 % par rapport à l'année précédente. La société de sécurité a enregistré 5 183 violations de données pour un total de 7,9 milliards d'enregistrements exposés.

Source : Bob Diachenko

Et vous ?

Qu’en pensez-vous ?
GrowDiaries utilise le MD5 déprécié pour le hachage des mots de passe des planteurs de cannabis. Quels commentaires en faites-vous ?

Voir aussi :

235 millions de profils d'utilisateurs d'Instagram, TikTok et YouTube ont été exposés dans une fuite massive de données, Social Data, la société à l'origine de la fuite, a fermé la base de données
Une société d'IA a fait fuiter plus de 2,5 millions de dossiers médicaux de victimes d'accidents de voiture, dévoilant entre autres les noms, dossiers d'assurance, notes de diagnostic médical
Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d'utilisateurs, à cause d'une erreur de configuration d'instance AWS
2019 a été une « année record » en termes de violations de données, petit tour d'horizon sur celles qui ont le plus marqué

Une erreur dans cette actualité ? Signalez-le nous !