GrowDiaries是一个在线社区,大麻种植者可以在这里写关于他们的植物的博客,并与其他农民互动,该社区在今年9月遭遇了安全漏洞。
这次入侵发生在该公司将两个Kibana应用程序暴露在互联网上而没有管理密码之后。
Kibana的应用程序通常由公司的IT和开发人员使用,因为该应用程序允许程序员通过一个简单的基于网络的可视化界面来管理Elasticsearch数据库。
由于Kibana本身的特性,确保Kibana应用程序的安全与保护数据库本身同等重要。
但在今天发布在LinkedIn上的一份最新报告中,以发现和报告不安全的数据库而闻名的安全研究员鲍勃·迪亚琴科(Bob Diachenko)表示,GrowDiaries未能确保其两款Kibana应用的安全,这两款应用似乎自2020年9月22日以来一直处于没有密码的在线状态。
迪亚琴科说,这两款Kibana应用程序允许攻击者访问两套Elasticsearch数据库,其中一套存储了140万条用户记录,另一套存储了200多万个用户数据点。
第一个数据库暴露了用户名、电子邮件地址和IP地址,而第二个数据库还暴露了GrowDiaries网站上发布的用户文章和用户的账户密码。
虽然密码是以散列格式存储的,但迪亚琴科表示,这种格式是DMD5,这是一种已知不安全且易被破解的散列函数(允许威胁行为者确定每个密码的明文版本)。
迪亚琴科说,他在10月10日向GrowDiaries报告了被曝光的Kibana应用程序,五天后该公司保护了其基础设施。
这位乌克兰安全研究员表示,尽管GrowDiaries确实介入保护了其服务器的安全,但该公司拒绝进行其他通信,因此他无法确定是否有人访问了该公司的Elasticsearch数据库,以下载用户数据。
然而,迪亚琴科说,这样的事情发生的可能性很大,因为他肯定不是唯一一个寻找意外暴露的数据库的人。
在这篇文章发表之前,成长日记的发言人没有回复ZDNet的额外置评请求。
GrowDiaries用户被建议更改密码,以防数据落入他人手中。由于密码以MD5格式存储,他们的旧密码不安全,账户有被劫持的危险。