Escribiendo unas pocas letras y números en un navegador web, el investigador de seguridad Sammy Azdoufal se encontró mirando los documentos de identidad de completos desconocidos: el pasaporte de una mujer alemana, el carné de conducir de un hombre español y la expresión tonta de otra víctima más. Todos estaban en URLs públicas sin contraseña ni control de acceso, como si Internet fuera un contenedor de objetos perdidos para datos sensibles.
Azdoufal, que anteriormente usó Claude Code para descubrir que las aspiradoras robot DJI Romo y un millón de monitores para bebés eran vergonzosamente fáciles de hackear, esta vez encontró más de 985,000 fotos de identificación expuestas. Si has visitado un club de cannabis en España, tu identificación, número de teléfono, dirección, cepas favoritas y consumo mensual podrían estar entre ellas, incluyendo 30,000 visitantes de Estados Unidos y, según se informa, algunas celebridades que "no quieren que todos sepan que fuman marihuana".
El culpable no son los clubes en sí, sino una empresa irlandesa llamada Cannabis Club Systems (CCS), formalmente Nefos Solutions, que proporciona software para ventas, contabilidad y admisiones. Su sistema de verificación permite a los recepcionistas subir identificaciones y selfies a la nube de Nefos. Pero cuando Azdoufal decompiló la aplicación opcional PuffPal, encontró una clave secreta de Stripe en texto plano, la capacidad de extraer el perfil de cualquier miembro cambiando un número, e imágenes de pasaportes almacenadas en URLs tan simples como https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Los clubes subían 5,000 nuevas identificaciones diariamente.
Azdoufal también encontró un portal de administración accesible a través de Internet público, con contraseñas descifrables en minutos usando una GPU moderna. Los mensajes de chat privados entre clubes y miembros también eran vulnerables. ¿La buena noticia? Después de un mes y un empujón de The Verge, Nefos finalmente está tomando medidas: cerrando PuffPal y las API vulnerables, informando a las autoridades irlandesas y planeando notificar a los usuarios afectados. El cofundador Andreas Nilsen dice que está en contacto con la Autoridad de Protección de Datos (DPC) de Irlanda, que confirmó el contacto.
Pero Nefos tardó cinco días y la amenaza de un artículo para responder a Azdoufal. Inicialmente, la empresa tapó los agujeros; luego, el 4 de junio, el propio pasaporte de Azdoufal reapareció en línea después de que los clubes se quejaran de las imágenes bloqueadas. Nilsen afirma que las imágenes estaban seguras "el 70 por ciento del tiempo", pero está claro que Nefos priorizó la comodidad del cliente sobre la seguridad. El 9 de junio, Azdoufal descubrió que incluso después de bloquear las imágenes de los pasaportes con tokens, todo lo demás (números de pasaporte, números de teléfono, direcciones) seguía siendo accesible mediante un simple comando curl. Ese agujero ya se ha cerrado.
Nilsen culpa a la empresa subcontratada 9Series por desarrollar la vulnerable aplicación PuffPal, aunque admite su responsabilidad. Nefos se está separando de 9Series y espera lanzar una nueva aplicación verificada de forma independiente en cuestión de meses. Según la ley de la UE, Nefos debería haber revelado la violación en un plazo de 72 horas, algo que no hizo. "Estoy seguro de que recibiremos cualquier tipo de penalización que haya", dice Nilsen.
El mes pasado, el Portal de Visas del Reino Unido expuso al menos 100,000 pasaportes. Esperemos que esto sea la llamada de atención que finalmente haga que las empresas dejen de tratar los datos personales como recuerdos de fiesta.