En tapant quelques lettres et chiffres dans un navigateur web, le chercheur en sécurité Sammy Azdoufal s'est retrouvé à regarder les documents d'identité de parfaits inconnus - le passeport d'une Allemande, le permis de conduire d'un Espagnol, et l'expression stupide d'une autre victime. Tous étaient accessibles via des URL publiques sans mot de passe ni contrôle d'accès, comme si Internet était une boîte à objets trouvés pour données sensibles.
Azdoufal, qui avait déjà utilisé Claude Code pour découvrir que les aspirateurs robots DJI Romo et un million de moniteurs pour bébés étaient ridiculement faciles à pirater, a cette fois trouvé plus de 985 000 pièces d'identité avec photo exposées. Si vous avez visité un club de cannabis en Espagne, votre pièce d'identité, numéro de téléphone, adresse, variétés préférées et consommation mensuelle pourraient en faire partie - y compris 30 000 visiteurs des États-Unis et, paraît-il, quelques célébrités qui « ne veulent pas que tout le monde sache qu'elles fument de l'herbe ».
Le coupable n'est pas les clubs eux-mêmes, mais une entreprise irlandaise appelée Cannabis Club Systems (CCS), officiellement Nefos Solutions, qui fournit des logiciels pour les ventes, la comptabilité et les admissions. Leur système de vérification permet aux réceptionnistes de télécharger des pièces d'identité et des selfies vers le cloud de Nefos. Mais quand Azdoufal a décompilé l'application optionnelle PuffPal, il a trouvé une clé secrète Stripe en texte clair, la possibilité d'afficher le profil de n'importe quel membre en changeant un numéro, et des images de passeports stockées à des URL aussi simples que https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Les clubs téléchargeaient 5 000 nouvelles pièces d'identité par jour.
Azdoufal a également trouvé un portail administrateur accessible via Internet public, avec des mots de passe craquables en quelques minutes en utilisant un GPU moderne. Les messages de chat privés entre les clubs et les membres étaient également vulnérables. La bonne nouvelle ? Après un mois et un coup de pouce de The Verge, Nefos prend enfin des mesures - fermeture de PuffPal et des API vulnérables, information des autorités irlandaises, et projet de notification des utilisateurs concernés. Le co-fondateur Andreas Nilsen dit être en contact avec l'Autorité de protection des données (DPC) d'Irlande, qui a confirmé le contact.
Mais il a fallu cinq jours et la menace d'un article pour que Nefos réponde à Azdoufal. Initialement, l'entreprise a bouché les trous - puis, le 4 juin, le propre passeport d'Azdoufal est réapparu en ligne après que des clubs se soient plaints d'images verrouillées. Nilsen prétend que les images étaient sécurisées « 70 % du temps », mais il est clair que Nefos a privilégié la commodité des clients à la sécurité. Le 9 juin, Azdoufal a découvert que même après avoir verrouillé les images de passeports avec des jetons, tout le reste - numéros de passeport, numéros de téléphone, adresses - était toujours accessible via une simple commande curl. Ce trou a depuis été comblé.
Nilsen blague la société d'externalisation 9Series pour avoir développé l'application vulnérable PuffPal, bien qu'il admette sa responsabilité. Nefos se sépare de 9Series et espère lancer une nouvelle application, vérifiée indépendamment, d'ici quelques mois. En vertu du droit européen, Nefos aurait dû divulguer la violation dans les 72 heures - ce qu'il n'a pas fait. « Je suis sûr que nous recevrons une amende ou une pénalité », dit Nilsen.
Le mois dernier seulement, le portail des visas britannique a exposé au moins 100 000 passeports. Espérons que cela soit le signal d'alarme qui poussera enfin les entreprises à cesser de traiter les données personnelles comme des cadeaux de fête.