एक वेब ब्राउज़र में कुछ अक्षर और अंक टाइप करते हुए, सुरक्षा शोधकर्ता सैमी अज़दौफल ने खुद को पूरी तरह से अजनबियों के पहचान दस्तावेज़ों को देखते हुए पाया - एक जर्मन महिला का पासपोर्ट, एक स्पेनिश व्यक्ति का ड्राइविंग लाइसेंस, और एक और पीड़ित की मूर्खतापूर्ण अभिव्यक्ति। ये सभी बिना किसी पासवर्ड या एक्सेस कंट्रोल के सार्वजनिक URL पर पड़े थे, जैसे कि इंटरनेट संवेदनशील डेटा के लिए खोया-पाया बिन हो।
अज़दौफल, जिन्होंने पहले क्लॉड कोड का उपयोग करके पता लगाया था कि DJI Romo रोबोट वैक्यूम और दस लाख बेबी मॉनिटर शर्मनाक रूप से हैक करने में आसान थे, इस बार 985,000 से अधिक फोटो आईडी उजागर पाए। यदि आपने स्पेन में किसी कैनबिस क्लब का दौरा किया है, तो आपकी आईडी, फोन नंबर, पता, पसंदीदा स्ट्रेन और मासिक खपत उनमें से हो सकती है - जिसमें संयुक्त राज्य अमेरिका के 30,000 आगंतुक और, रिपोर्ट के अनुसार, कुछ सेलिब्रिटी शामिल हैं जो "नहीं चाहते कि सभी को पता चले कि वे गांजा पीते हैं।"
दोषी क्लब स्वयं नहीं हैं, बल्कि एक आयरिश कंपनी है जिसे कैनबिस क्लब सिस्टम्स (CCS) कहा जाता है, औपचारिक रूप से Nefos Solutions, जो बिक्री, लेखा और प्रवेश के लिए सॉफ्टवेयर प्रदान करती है। उनकी सत्यापन प्रणाली रिसेप्शनिस्टों को Nefos के क्लाउड पर आईडी और सेल्फी अपलोड करने देती है। लेकिन जब अज़दौफल ने वैकल्पिक PuffPal ऐप को डीकंपाइल किया, तो उन्हें सादे टेक्स्ट में एक Stripe गुप्त कुंजी, एक नंबर बदलकर किसी भी सदस्य की प्रोफ़ाइल खींचने की क्षमता, और https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg जैसे सरल URL पर संग्रहीत पासपोर्ट छवियां मिलीं। क्लब प्रतिदिन 5,000 नई आईडी अपलोड कर रहे थे।
अज़दौफल को सार्वजनिक इंटरनेट के माध्यम से सुलभ एक व्यवस्थापक पोर्टल भी मिला, जिसके पासवर्ड आधुनिक GPU का उपयोग करके मिनटों में क्रैक किए जा सकते थे। क्लबों और सदस्यों के बीच निजी चैट संदेश भी असुरक्षित थे। अच्छी खबर? एक महीने और The Verge से झटका लगने के बाद, Nefos अंततः कार्रवाई कर रहा है - PuffPal और कमजोर API को बंद करना, आयरिश अधिकारियों को सूचित करना, और प्रभावित उपयोगकर्ताओं को सूचित करने की योजना बनाना। सह-संस्थापक एंड्रियास निल्सन का कहना है कि वह आयरलैंड के डेटा संरक्षण प्राधिकरण (DPC) के संपर्क में हैं, जिसने संपर्क की पुष्टि की।
लेकिन Nefos को अज़दौफल को जवाब देने में पांच दिन और एक कहानी की धमकी लगी। शुरू में, कंपनी ने छेदों को ढंक दिया - फिर, 4 जून को, क्लबों द्वारा लॉक की गई छवियों के बारे में शिकायत करने के बाद अज़दौफल का अपना पासपोर्ट फिर से ऑनलाइन दिखाई दिया। निल्सन का दावा है कि छवियां "70 प्रतिशत समय" सुरक्षित थीं, लेकिन यह स्पष्ट है कि Nefos ने ग्राहक सुविधा को सुरक्षा पर प्राथमिकता दी। 9 जून को, अज़दौफल ने पाया कि पासपोर्ट छवियों को टोकन से लॉक करने के बाद भी, बाकी सब कुछ - पासपोर्ट नंबर, फोन नंबर, पते - एक साधारण कर्ल कमांड के माध्यम से सुलभ था। वह छेद तब से बंद कर दिया गया है।
निल्सन कमजोर PuffPal ऐप विकसित करने के लिए आउटसोर्सिंग फर्म 9Series को दोषी ठहराते हैं, हालांकि वह जिम्मेदारी स्वीकार करते हैं। Nefos 9Series से अलग हो रहा है और महीनों के भीतर एक नया, स्वतंत्र रूप से सत्यापित ऐप लॉन्च करने की उम्मीद करता है। EU कानून के तहत, Nefos को 72 घंटों के भीतर उल्लंघन का खुलासा करना चाहिए था - जो उसने नहीं किया। "मुझे यकीन है कि हमें जो भी जुर्माना मिलेगा, वह मिलेगा," निल्सन कहते हैं।
पिछले महीने ही, UK वीज़ा पोर्टल ने कम से कम 100,000 पासपोर्ट उजागर किए। उम्मीद है कि यह वह जागृति कॉल होगी जो अंततः कंपनियों को व्यक्तिगत डेटा को पार्टी उपहार की तरह व्यवहार करने से रोकेगी।