Cyberthreat.id – GrowDiaries, komunitas daring terkait tanaman ganja, mengalami insiden pelanggaran data besar-besaran setelah dua aplikasi miliknya dapat diakses secara daring tanpa kata sandi.

Tumpukan data itu ditemukan oleh peneliti keamanan independen, Bob Diachenko, seperti diberitakan ZDNet, portal berita cybersecurity, diakses Kamis (5 November 2020).

Menurut Bob, informasi sensitif 1,4 juta pengguna situs web GrowDaries yang bocor, seperti kata sandi, alamat email, dan alamat IP.

Pelanggaran terjadi setelah dua aplikasi Kibana, aplikasi sumber terbuka yang biasanya disediakan untuk tim pengembangan perusahaan dan staf TI, dibiarkan terbuka tanpa password sejak 22 September lalu.

GrowDiaries didirikan untuk memberikan dukungan dan saran praktis bagi petani ganja, tetapi identitas pengguna mereka tetap anonim, dengan hanya “username” yang terlihat di situs web.

Bob mengatakan telah melaporkan aplikasi Kibana yang terekspos ke GrowDiaries pada 10 Oktober lalu. Lima hari kemudian, perusahaan memperbaiki kesalahan dan mengamankan akses data tersebut.

Peneliti keamanan asal Ukraina itu mengatakan meski GrowDiaries telah mengamankan server-nya, perusahaan tersebut menolak untuk berkomunikasi tentang hal lain. Ia pun tidak dapat menentukan apakah orang lain telah mengakses database berbasis Elasticsearch itu untuk mengunduh data tersebut.

Pengguna GrowDiaries disarankan untuk mengubah kata sandi, berjaga-jaga jika datanya sampai ke tangan orang lain. Dengan sandi yang disimpan dalam format MD5, sandi lama mereka tidak aman, dan akun berisiko dibajak peretas.[]