Durch die Eingabe einiger Buchstaben und Zahlen in einen Webbrowser fand Sicherheitsforscher Sammy Azdoufal sich plötzlich vor den Ausweisdokumenten völlig Fremder wieder – dem Pass einer Deutschen, dem Führerschein eines Spaniers und dem albernen Gesichtsausdruck eines weiteren Opfers. Alle lagen auf öffentlichen URLs ohne Passwort oder Zugangskontrolle, als wäre das Internet eine Fundgrube für sensible Daten.

Azdoufal, der zuvor mit Claude Code entdeckte, dass DJI Romo Roboterstaubsauger und eine Million Baby-Monitore peinlich einfach zu hacken waren, fand diesmal über 985.000 Fotoausweise im Netz. Wenn Sie jemals einen Cannabis-Club in Spanien besucht haben, könnten Ihr Ausweis, Ihre Telefonnummer, Adresse, Lieblingssorten und monatlicher Konsum darunter sein – darunter 30.000 Besucher aus den USA und, wie es heißt, einige Prominente, die „nicht wollen, dass alle wissen, dass sie kiffen.“

Der Übeltäter sind nicht die Clubs selbst, sondern eine irische Firma namens Cannabis Club Systems (CCS), offiziell Nefos Solutions, die Software für Verkauf, Buchhaltung und Zutritt bereitstellt. Ihr Verifikationssystem erlaubt es Rezeptionisten, Ausweise und Selfies in die Nefos-Cloud hochzuladen. Aber als Azdoufal die optionale PuffPal-App dekompilierte, fand er einen Stripe-Secret-Key im Klartext, die Möglichkeit, jedes Mitgliedsprofil durch Ändern einer Zahl aufzurufen, und Passbilder, die unter URLs wie https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg gespeichert waren. Die Clubs luden täglich 5.000 neue Ausweise hoch.

Azdoufal fand auch ein Admin-Portal, das über das öffentliche Internet erreichbar war, mit Passwörtern, die mit einer modernen GPU in Minuten knackbar waren. Private Chatnachrichten zwischen Clubs und Mitgliedern waren ebenfalls angreifbar. Die gute Nachricht? Nach einem Monat und einem Anstoß von The Verge handelt Nefos endlich – schaltet PuffPal und angreifbare APIs ab, informiert die irischen Behörden und plant, betroffene Nutzer zu benachrichtigen. Mitgründer Andreas Nilsen sagt, er stehe mit Irlands Datenschutzbehörde (DPC) in Kontakt, die den Kontakt bestätigte.

Aber es dauerte fünf Tage und die Androhung einer Story, bis Nefos auf Azdoufal antwortete. Zunächst flickte das Unternehmen die Löcher nur oberflächlich – dann, am 4. Juni, tauchte Azdoufals eigener Pass wieder online auf, nachdem Clubs sich über gesperrte Bilder beschwert hatten. Nilsen behauptet, die Bilder seien „70 Prozent der Zeit“ sicher gewesen, aber es ist klar, dass Nefos Kundenkomfort über Sicherheit stellte. Am 9. Juni stellte Azdoufal fest, dass selbst nach dem Sperren der Passbilder mit Tokens alles andere – Passnummern, Telefonnummern, Adressen – immer noch über einen einfachen curl-Befehl zugänglich war. Dieses Loch wurde inzwischen geschlossen.

Nilsen gibt der Outsourcing-Firma 9Series die Schuld für die Entwicklung der angreifbaren PuffPal-App, obwohl er die Verantwortung übernimmt. Nefos trennt sich von 9Series und hofft, innerhalb weniger Monate eine neue, unabhängig geprüfte App zu starten. Nach EU-Recht hätte Nefos den Vorfall innerhalb von 72 Stunden melden müssen – das tat es nicht. „Ich bin sicher, dass wir irgendeine Strafe bekommen werden“, sagt Nilsen.

Erst letzten Monat legte das UK Visa Portal mindestens 100.000 Reisepässe offen. Hoffen wir, dass dies der Weckruf ist, der Unternehmen endlich dazu bringt, persönliche Daten nicht mehr wie Partygeschenke zu behandeln.