GrowDiaries,
una comunidad en línea donde los cultivadores de marihuana pueden bloguear
sobre sus plantas e interactuar con otros agricultores, sufrió una brecha de seguridad en septiembre de este año.
La
violación se produjo después de que la empresa dejara expuestas dos
aplicaciones de Kibana en Internet sin contraseñas administrativas.
Las aplicaciones
de Kibana normalmente las utiliza el personal de desarrollo e
informática de una empresa. La aplicación permite a los programadores
administrar las bases de datos de Elasticsearch a través de una interfaz visual
sencilla basada en la web.
Debido
a sus características nativas, proteger las aplicaciones de Kibana es tan
importante como proteger las bases de datos.
Pero
en un informe publicado hoy en LinkedIn, Bob Diachenko, un investigador de
seguridad conocido por descubrir y reportar bases de datos no seguras, dijo que
GrowDiaries no pudo proteger dos de sus aplicaciones Kibana. Estas parecen
haber estado expuestas en línea sin contraseña desde el 22 de septiembre de
2020.
Diachenko
dice que estas dos aplicaciones de Kibana le otorgaron a los atacantes acceso a
dos conjuntos de bases de datos de Elasticsearch. Una de las bases de datos almacena
1.4 millones de registros de usuarios y la segunda contiene más de dos millones
de puntos de datos de usuarios.
La
primera expuso nombres de usuarios, direcciones de correo electrónico y direcciones IP. La segunda base de datos también
expuso artículos de usuarios publicados en el sitio GrowDiaries y contraseñas de cuentas de usuarios.
Fallas de seguridad
Si
bien las contraseñas se almacenaron en un formato hash, Diachenko dijo que el formato era MD5. MD5 es una función hash conocida por ser insegura
y descifrable (que permite a los hackers determinar la versión en texto plano
de cada contraseña).
Diachenko
dijo que informó sobre las aplicaciones de Kibana expuestas a GrowDiaries el 10
de octubre, y la compañía aseguró su infraestructura cinco días después.
El
investigador de seguridad ucraniano dijo que, si bien GrowDiaries intervino
para proteger su servidor, la compañía rechazó otras comunicaciones. Por lo
tanto, no pudo determinar si alguien más accedió a las bases de datos de
Elasticsearch de la compañía para descargar los datos del usuario.
Sin
embargo, Diachenko dijo que era «probable» que ocurriera algo como
esto, ya que ciertamente no es el único que busca bases de datos expuestas
accidentalmente.
Aconsejamos
a los usuarios de GrowDiaries que cambien sus contraseñas, en caso de que los
datos lleguen a manos de otra persona. Con las contraseñas almacenadas en
formato MD5, sus contraseñas antiguas no son seguras y las cuentas están en
peligro de ser secuestradas.
Fuente: ZDnet
Esta
es la vergonzosa lista de contraseñas más hackeadas del mundo