GrowDiariesは、マリファナ栽培者が自身の栽培について投稿したり、他の栽培者と交流したりできるソーシャルメディアプラットフォームです。同プラットフォームのサーバー2台から、ユーザー名やパスワードなどのユーザーデータが漏洩しました。

GrowDiariesのセキュリティ漏洩

セキュリティ研究者のボブ・ディアチェンコ氏は、LinkedInにGrowDiariesがElasticsearchデータベースの管理に使用しているKibanaアプリ2つをセキュリティ対策していなかったというレポートを公開しました。その結果、140万件のレコードを含む1つのデータベースではユーザー名、メールアドレス、IPアドレスが、200万件のレコードを含むもう1つのデータベースではパスワードとユーザーの投稿が流出しました。支払いデータは流出しませんでした。パスワードはMD5ハッシュ化されており、これは簡単に解読できることが知られています。

ディアチェンコ氏は2020年10月10日にデータベースを発見した。GrowDiariesは10月15日に侵害を認め、データを保護した。同社はデータベースが望ましくない第三者によってアクセスされたかどうかを明らかにしていないが、ディアチェンコ氏は、安全でないサーバーを探しているのは自分だけではないため、その可能性が高いと述べている。