GrowDiaries: les enregistrements de 3,4 millions d'utilisateurs de la communauté rendu publique


Recommended Posts

 

 

Le chercheur Volodymyr «Bob» Diachenko a signalé une violation de données liée à GrowDiaries avec au moins 1,4 million d'enregistrements d'adresses e-mail et IP, ainsi que 2 millions de messages d'utilisateurs non sécurisés et accessibles.

 

Dans son rapport du 3 novembre, il a affirmé que des données privées, notamment des mots de passe, des messages, des adresses e-mail et des adresses IP, avaient été exposées entre le 22 septembre et le 15 octobre.

 

La violation se serait produite après que deux applications Kibana d'applications open source, généralement réservées aux développeurs, aient été laissées ouvertes.

 

La communauté du cannabis GrowDiaries dévoilée

 

GrowDiaries est une communauté en ligne et une plateforme de journalisation conçue pour soutenir et conseiller les cultivateurs de marijuana. La plate-forme compte une large et forte adhésion, principalement des cultivateurs et des amateurs de cannabis du monde entier. Les fonctionnalités de discussion et de journalisation leur permettent de partager des photos, des astuces et des conseils avec leur groupe d'utilisateurs diversifié.

 

Il est important de noter que de nombreux membres sur le site viennent de pays où le pot est illégal. Les identités sont censées être anonymes, seuls les noms d'utilisateur étant visibles sur le site.

 

La base de données ouverte exposait des mots de passe cryptés mais l'outil de cryptage utilisé était le générateur de hachage MD5. Cette méthode de cryptage offre très peu de sécurité et a été piratée sur de nombreux sites auparavant. Les attaquants pouvaient toujours révéler les mots de passe des GrowDiaries en texte brut.

 

"Je ne sais pas si d'autres tiers ont accédé aux données pendant qu'elles étaient exposées, mais cela semble probable", a écrit Diachenko.

 Après avoir signalé la vulnérabilité, GrowDiaries a demandé des détails supplémentaires et le 15 octobre, les données ont été sécurisées, a-t-il ajouté.

Pour la communauté GrowDiaries, les mots de passe doivent être modifiés dès que possible. Sinon, les attaquants pourraient potentiellement utiliser des identifiants volés pour tenter une activité frauduleuse ou un chantage.

 

Par exemple, en Malaisie, la vente de drogue est passible de la peine de mort et une simple condamnation pour possession peut entraîner une longue peine de prison. Dans des pays comme Dubaï, la Thaïlande, Singapour et les Philippines, les producteurs et les utilisateurs pourraient être en prison pendant de nombreuses années.

 

GrowDiaries affirme que les données du site sont sécurisées

 

Un représentant de GrowDiaries a contesté le rapport de Diachenko dans un e-mail, affirmant que l'entreprise «n'avait jamais reconnu l'incident» et que les données prétendument compromises n'étaient que des données de test.

 

GrowDiaries a également déclaré qu'il était basé en dehors des États-Unis et ne comptait qu'environ 30 000 comptes. Il a rassuré les utilisateurs que leurs données seront protégées sur la plateforme.

 

«GrowDiaries est totalement sûr à utiliser et à stocker des informations», selon la section FAQ sur le site. «Nous ne stockons ni ne partageons aucune information personnelle. Toutes les métadonnées sont effacées. "

 

Au cours de la technopandémie de 2020, il y a eu une augmentation marquée des données volées, des hacks majeurs et des attaques de ransomwares.

 

Le groupe de hackers Magecart, qui commet des escroqueries par écrémage de paiement, aurait attaqué le marchand de métaux précieux JM Bullion. Et la société répond toujours aux questions sur les raisons qui font qu'il a fallu des mois pour informer les clients.

 

 

source: https://usaherald.com/growdiaries-data-breach-exposed-3-4-million-records-cannabis-online-community/

https://blog.knowbe4.com/cannabis-company-growdiaries-suffers-data-breach-of-3.4-million-users

Etc

  • Confused 2
  • Sad 2
Link to post
Share on other sites
Guest kingkong7
il y a 14 minutes, Stranglethorns a dit:

Pwet, 


Merci pour l'info, d'où l'intérêt d'utiliser des emails temporaires et d'être sous vpn quand tu navigues sur des sites du type cannabique .. 

 

La Bise 

 

Hello , t'as beau être sous vpn ou un proxy si tu navigue avec google , suffit qu'ils demandent à google ;) ,  le vpn c'est bien pour avoir accès à des sites dont tu ne peux avoir accé  en France , pour ce cacher c'est vraiment pas top 

@+++

Link to post
Share on other sites
Guest kingkong7

re 

 

il y a 10 minutes, Stranglethorns a dit:

Qui utilise encore Google en 2020 ? 😁 

 

Tu utilises un moteur de recherche de compet secret ? 

 

il y a 10 minutes, Stranglethorns a dit:

Pour ce cacher cela reste une très bonne solution faut pas déconner (faut juste mettre le prix) bien choisir sont prestataire,  et surtout bien lire les petites lignes ^^ 

 

 

T'inquiete j'en ai un bon et j'ai mis le prix comme tu dis ;)  . Mais ton moteur de recherche garde tout si tu vas dans historique google tu serais sur le cul de ce qu'il y a ;): https://myactivity.google.com

 

Tu te fais chié à installer un VPN mais ton moteur de recherche garde tout 😂  , pour te cacher ça sert à que dalle,  désolé si tu as mis le prix ......

@++++

Edited by kingkong7
Link to post
Share on other sites

Re, @kingkong7

 

L'astuce la plus courante est pourtant simple et connu depuis bien longtemps, c'est de ne pas utiliser de "moteur de recherche"

 

L'hygiène informatique c'est important, il y a tellement d'autre alternative à google.. 

 

Pour moi Cannaweed, c'est sous machine virtuel, DnS privé, Vpn dédié & créer pour Tor sur n'importe quel navigateur autre que "chrome" avec un bon kill switch des familles au cas ou 😁

 

Tu as l'air de bien aimer le sujet, si tu n'as pas regardé encore, "Derrière nos écrans de fumée" cela résume bien la merde que ses sociétés nous font subir et cela motive grandement à pratiquer la fameuse hygiène informatique, (qui commence par quitter et cesser rapidement d'utiliser les outils de Google par exemple) 

 

La Bise (et pense à faire le ménage dans t'es paramètres google tu devrais pouvoir désactiver/supprimer facilement ton historique&compagnie ) 😘 #No-Offence

  • Like 4
Link to post
Share on other sites

Yo 

 

Étant bidon en info vous pensez vraiment que c'est utile pour venir ici ? 

 

 

C'est assez paradoxal ( et presque à la limite du foutage de gueule) que netflix produise ça, sachant qu'ils font partie des meilleurs pour utiliser nos données privées.. 

 

Il manquerai plus que les grandes entreprises pollueuses fassent du lobbying pro ecolo.. Ah ça existe déjà pardon

 

++

  • Haha 1
Link to post
Share on other sites

Salut,

@Stranglethorns
Vu que t'utilise pas google comme moteur de recherche, lequel tu préfère ? J'ai déjà essayer de faire sans Google mais je trouve que les autres moteur que j'ai test ne donnait pas des résultat top. J'avais test duckduckgo a un moment mais c'est pas terrible.
Sinon ton setup pour aller check des site cannabique sa ram pas trop ? J'trouve avec tor le chargement des images c'est super lent.
 

  • Thanks 1
Link to post
Share on other sites

Yo,

 

Je ne suis pas informaticien mais je ne vois pas ce que Google a a faire la dedans, il faut juste effacer ses cookies, ou utiliser un navigateur en mode privé (Firefox par exemple) + un VPN (ou Tor) parce ce que sinon il n'y a pas que Google qui va vous tracer.

 

Et dire qu'on est la a se planquer pour quelques plants de beuh ... l'absurdité de la chose quoi ... comment ca se fait que le CIRC n'organise pas un concert de casseroles aux fenetres pour demander la legalisation (bon etant grower j'y participerais pas mais a l'epoque ou je me contentais de fumer j'aurais sorti les miennes pour taper fort :davb:)

 

a+

  • Like 1
Link to post
Share on other sites

plop!

 

Citation

il faut juste effacer ses cookies, ou utiliser un navigateur en mode privé

hélas ça ne suffit pas,

ton ordi (ou ce que tu utilise pour te connecté) laisse sa signature partout ou il passe (tout les serveurs enregistre ces log),

ton "agent user" et des trucs du genre...

bref cette "signature" (en gros, ton ordi présente sa configuration technique et ses réglages ,ext...a tout les serveurs ou il se connecte, cette "présentation" donne un caractère unique a ta machine)

suffit par exemple pour te tracé, de lancé un algorithme de recherche sur les log de ton "agent user" par exemple,

ce qui sortira toutes les connexions que ta machine a pu avoir ...  (a moins de géré cette aspect des choses aussi)

a quoi bon être sous vpn ou tor ou ... si tu laisse ta signature partout ?😎

 

vu l'ambiance totalitaire du moment, planquer vos fesses !

 

@+

Link to post
Share on other sites

Yo @Heka

 

Oui mon ordi laisse sa signature, par exemple Cannaweed connait mon IP, mon syteme d'exploitation, la resolution de mon ecran et ?

 

Si je me connecte a mon VPN qui se connecte a Cannaweed, l'etat verra seulement par l'intermediare de mon FAI que je me connecte a un site etranger (mon VPN) il n'a pas acces au serveur de Cannaweed pour savoir que c'est ma signature a moins de le hacker, et quand bien meme une signature avec un systeme d'exploitation et une resoution d'ecran ce n'est pas un numero unique des millions de gens ont la meme que moi.

 

a+

 

Edit: je viens de check sur https://panopticlick.eff.org/ et effectivement j'ai une belle signature, par contre ce que je ne comprend pas c'est comme l'etat pourrais savoir que je me connecte ici a moins de hacker Cannaweed et de connaitre ma signature

Edited by MrCoconut
Link to post
Share on other sites

plop!

 

ton ordi raconte tout son pedigree, la config hardware et software de la machine sur lequel vient s'ajouter tout les réglages "users" ...

cela fait une longue liste d'infos qui forme une sorte de "combinaison", la probabilité que deux machines sorte la même liste est infini-décimal ...

l’accès aux log des serveurs n'est pas forcement difficile pour qui sait si prendre ...

cannaweed n'est pas a l'abri d'un hacking non plus ...

 

perso comme Stranglethorns  j’adhère au principe d'hygiène informatique ... (et non gogole n'est pas mon ami)

je défend mon espace "privé" du mieux que je peu, parce que c'est le seul et unique espace de liberté dont je dispose concrètement ...

 

@+

Edited by Heka
  • Like 1
Link to post
Share on other sites

Re,

 

Donc il faut que l'Etat me hack et hack Cannaweed dans ce cas c'est possible si je comprend bien. Bah a la limite why not mais ca je m'en doutais, de toute facon si une veritable agence de renseignement veux te baiser, a moins d'utiliser Tor (et encore si c'est pas peté vu tous les gens qui sont tombés) je ne vois pas ce qui l'en empecherait, heureusement je fais pousser mes 3 plants ca va je stress pas trop, au pire si je peux leur depanner un ou deux spliffs suffit de demander :xD:

 

a+

Link to post
Share on other sites

yop

 

si vous ne prenez pas la sécurité informatique au sérieux, tant pis. Donc vous avez les temps pour une petite lecture

https://cyberguerre.numerama.com/8696-on-a-retrouve-les-identifiants-de-milliers-de-francais-sur-un-inquietant-marche-noir.html

 

Et... ce n'est pas que l'historique de vos connexions ici. Où et comment achetez vous vos graines? ah ben tiens sur www.machin.com. Ah mais c'est pas grave, j'ai un proxy/vpn/tor/whatelse. Mais vos données bancaires, postales? On en fait quoi?

 

Restons prudents, mais impossible de rester anonymes. Suffit de voir le nombre de cannaweeders qui ont dû arrêter subitement. Tout est traçable! Prenez vos précautions et surtout, restez dans l'autoprod. Quand j'en vois qui sortent des 10 ou 20 plants par run, il y a de quoi se poser des questions, même pour un stoner comme moi.

 

la bise

  • Like 2
Link to post
Share on other sites

Salut 

 

Restons prudents c'est sur .Apres je pense pas qu'ils arrivent a serrer des mecs qui font de l'autoprod comme ca direct avec seules les données internet comme preuve.

A mon avis y'a 99% du temps une autre raison qui vient attirer l'attention sur le grower bien avant qu'ils s’intéressent aux datas informatique .

C'est une fois qu'ils t'ont perqui , qu'ils prennent ton pc et qu'ils fouillent dedans qu'ils trouvent tout ca mais c'est pas ca qui les met sur la piste .

A moins que tu t'affiches sur ton facebook avec ta plantation illégale , ton adresse ton 06 etc 

Une odeur mal gérée , un voisin trop curieux , la gendarmerie qui vient régler une affaire chez le voisin , des petits trucs comme ca le plus souvent .

 

Apres y'a l'histoires des enquêtes sur les growshop mais je pense que c'est plus dans la comptabilité du magasin physique qu'ils ont trouvé les informations qui ont donné lieu aux perquisitions . Et au début ça a du partir d'un client qui faisait du trafic .

 

Parce que chercher au hasard sur internet des informations sans savoir exactement qui tu cherches déjà , vu le flot de data ....

Ca peut alourdir la note quand même .

 

Heureusement qu'ils nous cherchent pas vraiment parce que sinon ce serait le massacre . 

 

@Frett fais nous rever tu fumes combien de grammes par mois ^^

 

10 plantes ca fait beaucoup tu trouves ?

Apres ca dépend aussi comment tu cultives et pourquoi tu cultives .On va dire que t'es sur 400w  que les plantes recoltées font en moyenne une trentaine de g .

Si t'envoie 4 runs par an que tu sors tes 300 et quelques x4 sur l'année c'est sur que t'es tranquille .

Si ca se passait tout le temps comme ca ce serait beau ....

Cultiver en indoor l'été deja faut en vouloir ou alors t'as la clim qui tourne a fond .

Puis faut faire du strain court ,optimisé le roulement si tu veux caler tes runs , c'est déjà beau si j'peux en faire 3 , franchement en faisant 2 runs je suis moins stress .

Rajoute a ca le facteur X si tu pars de graines puis les maladies crypto , les ravageurs , les hermas etc ... tout ce qui pourrait ruiner ta culture.

 

Si c'est un usage thérapeutique vaut mieux avoir toujours un peu de marge .

Mais bon va t'en l'expliquer au flics ca .

 

Toute facon c'est pas compliqué , en général si y'a trafic , c'est par le biais du trafic que les flics remonte a la production et il tombe pas dessus par hasard a mon avis comme c'est le cas chez beaucoup d'autoproducteurs.

 

++

 

 

 

 

++

 

 

Edited by Demourok
  • Like 8
  • Thanks 1
Link to post
Share on other sites

Yo

 

effectivement les autorités ont d'autres priorités que de s'emmerder à traquer les petits planteurs sur internet.

 

le problème c'est que toutes ces datas ne disparaissent pas, elles sont stockées et comment savoir si elles ne seront pas utilisées un jour par un nouveau

gouvernement plus axé sur la répression par exemple(oui c'est possible)

 

Et le gars qui à 18 piges aura exposé toute sa petite vie de canaille sur les réseaux sociaux pourrait avoir une méchante surprise 20 ans plus tard alors

qu'il est devenu un citoyen genre "irréprochable" et que quelqu'un lui ressortira des photos du placard qu'il avait posté sur les réseaux sociaux

Link to post
Share on other sites