بكتابة بضعة أحرف وأرقام في متصفح الويب، وجد الباحث الأمني سامي أزدوفال نفسه يحدق في وثائق هوية غرباء تمامًا - جواز سفر امرأة ألمانية، رخصة قيادة رجل إسباني، والتعبير السخيف لضحية أخرى. كانت جميعها موجودة في عناوين URL عامة بدون كلمة مرور أو تحكم في الوصول، وكأن الإنترنت عبارة عن صندوق ضائع للمعلومات الحساسة.
أزدوفال، الذي استخدم سابقًا Claude Code لاكتشاف أن مكانس DJI Romo الروبوتية ومليون كاميرا مراقبة للأطفال كانت سهلة الاختراق بشكل محرج، وجد هذه المرة أكثر من 985,000 صورة هوية مكشوفة. إذا كنت قد زرت ناديًا للقنب في إسبانيا، فقد تكون هويتك ورقم هاتفك وعنوانك وسلالاتك المفضلة واستهلاكك الشهري من بينها - بما في ذلك 30,000 زائر من الولايات المتحدة، ويُقال بعض المشاهير الذين "لا يريدون أن يعرف الجميع أنهم يدخنون الحشيش."
الجاني ليس النوادي نفسها، بل شركة أيرلندية تدعى Cannabis Club Systems (CCS)، رسميًا Nefos Solutions، التي توفر برامج للمبيعات والمحاسبة والدخول. يتيح نظام التحقق الخاص بهم لموظفي الاستقبال تحميل بطاقات الهوية وصور السيلفي إلى سحابة Nefos. ولكن عندما قام أزدوفال بفك تجميع تطبيق PuffPal الاختياري، وجد مفتاح Stripe سريًا بنص عادي، والقدرة على سحب ملف أي عضو عن طريق تغيير رقم، وصور جوازات السفر المخزنة في عناوين URL بسيطة مثل https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. كانت النوادي تقوم بتحميل 5000 بطاقة هوية جديدة يوميًا.
كما وجد أزدوفال بوابة إدارة يمكن الوصول إليها عبر الإنترنت العام، بكلمات مرور قابلة للاختراق في دقائق باستخدام وحدة معالجة رسوميات حديثة. كانت رسائل الدردشة الخاصة بين النوادي والأعضاء أيضًا عرضة للخطر. الخبر السار؟ بعد شهر ودفعة من The Verge، بدأت Nefos أخيرًا في اتخاذ إجراء - إغلاق PuffPal وواجهات برمجة التطبيقات الضعيفة، وإبلاغ السلطات الأيرلندية، والتخطيط لإخطار المستخدمين المتضررين. يقول المؤسس المشارك أندرياس نيلسن إنه على اتصال بهيئة حماية البيانات الأيرلندية (DPC)، التي أكدت الاتصال.
لكن الأمر استغرق خمسة أيام وتهديدًا بنشر القصة لترد Nefos على أزدوفال. في البداية، قامت الشركة بتغطية الثغرات - ثم، في 4 يونيو، ظهر جواز سفر أزدوفال الخاص مرة أخرى على الإنترنت بعد أن اشتكت النوادي من الصور المقفلة. يدعي نيلسن أن الصور كانت آمنة "70 بالمائة من الوقت"، لكن من الواضح أن Nefos فضلت راحة العملاء على الأمان. في 9 يونيو، وجد أزدوفال أنه حتى بعد قفل صور جوازات السفر بالرموز، كان كل شيء آخر - أرقام جوازات السفر وأرقام الهواتف والعناوين - لا يزال متاحًا عبر أمر curl بسيط. تم إغلاق تلك الثغرة منذ ذلك الحين.
يلقي نيلسن باللوم على شركة الاستعانة بمصادر خارجية 9Series لتطوير تطبيق PuffPal الضعيف، رغم أنه يتحمل المسؤولية. Nefos تنفصل عن 9Series وتأمل في إطلاق تطبيق جديد تم التحقق منه بشكل مستقل في غضون أشهر. بموجب قانون الاتحاد الأوروبي، كان يجب على Nefos الإفصاح عن الاختراق في غضون 72 ساعة - وهو ما لم تفعله. يقول نيلسن: "أنا متأكد من أننا سنحصل على أي عقوبة هناك."
في الشهر الماضي فقط، كشفت بوابة التأشيرات البريطانية عن ما لا يقل عن 100,000 جواز سفر. دعونا نأمل أن تكون هذه هي صرخة اليقظة التي تجعل الشركات تتوقف أخيرًا عن معاملة البيانات الشخصية مثل هدايا الحفلات.