Skip to main content

L’anonymat de millions de cultivateurs de marijuana menacé par une grave violation de données

Marijuana
(Crédit photo: Pixabay)

Une communauté en ligne de cultivateurs de marijuana a subi une importante violation de données, laissant leurs mots de passe mais aussi diverses informations personnelles sans protection.

La plateforme de discussions GrowDiaries a été créée pour fournir un soutien et des conseils pratiques aux cultivateurs de cannabis. Les membres de cette dernière peuvent échanger en tout anonymat, seuls leurs noms d'utilisateur apparaissant en ligne.

Cependant, le chercheur en sécurité informatique Bob Diachenko vient d’avertir que des informations sensibles concernant 1,4 million d'utilisateurs du site GrowDiaries, notamment des mots de passe, des adresses électroniques et des adresses IP, ont été exposées. La brèche s'est produite après que deux applications Kibana - des applications open source habituellement réservées aux équipes de développement et au personnel informatique d'un projet - aient été laissées sans sécurité depuis le 22 septembre.

Bien que les mots de passe exposés aient été cryptés, la méthode utilisée ici reste des plus sensibles. Il s’agit du générateur de hachage MD5, maintes fois cracké par le passé. Aujourd’hui, les hackers exploitant cette vulnérabilité peuvent encore décrypter et dévoiler intégralement les mots de passe concernés.

A cette heure, les hackers ne sont pas pro-légalisation

Diachenko a informé GrowDiaries de la violation et la plateforme en ligne a sécurisé ses bases de données cinq jours plus tard. Cependant, nous ne savons pas si les auteurs de l’attaque ont pu récupérer entretemps les informations confidentielles relatives aux utilisateurs de GrowDiaries, ni quel volume exact de data a été exposé.

Pour les membres de la communauté GrowDiaries, il est important que les mots de passe soient changés dès que possible. Sinon, les cybercriminels pourraient potentiellement tenter une usurpation d’identité ou des menaces de chantage.

Ils doivent également se montrer particulièrement vigilants face aux vagues de phishing qu’ils pourraient subir dans les prochaines semaines, voire mois. Une opération illicite qui viserait à extraire des données personnelles supplémentaires via leur messagerie électronique.

C’est d’autant plus problématique qu’une bonne partie des membres de GrowDiaries résideraient dans des pays où il s’avère illégal de cultiver de la marijuana. Pour les hackers aux commandes, c’est une manne financière alléchante qui se dessine.

Via ZDNet