GrowthDiaries网站的屏幕抓图https://growdiaries.com/“target=”noopener noreferrer nofollow“data component=”externalLink“>GrowDiaries,一个在线社区,大麻种植者可以在博客中记录他们的植物,并与其他农民互动,今年9月遭遇安全漏洞。
该公司将两个Kibana应用程序暴露在互联网上,而没有管理密码。
Kibana应用程序通常由由于Elasticp公司的基于web的应用程序开发功能, 但是https://www.linkedin.com/pulse/canbire-growing-community-site-exposes-34-million-user-diachenko/“target=”noopener noreferrer nofollow“data component=”externalLink“>今天发布在LinkedIn上的报告,Bob Diachenko,一位以发现和报告不安全数据库而闻名的安全研究人员说,GrowDiaries未能保护其两个Kibana应用程序的安全,这两个Kibana应用程序似乎自2020年9月22日以来一直在没有密码的情况下暴露在网上。 Diachenko说,这两个Kibana应用程序允许攻击者访问两组Elasticsearch数据库,其中一个数据库存储140万个用户记录,第二个数据库保存超过200万个用户数据点。 第一个数据库公开了用户名、电子邮件地址和IP地址,而第二个数据库还公开了Growtiaries网站上发布的用户文章和用户的帐户密码。 虽然密码是以散列格式存储的,迪亚琴科说格式是MD5,已知不安全且可破解的哈希函数(允许威胁参与者确定每个密码的明文版本)。![](“”class=“lazy”alt=“growdiaries-密码.jpg")
