Digitando qualche lettera e numero in un browser web, il ricercatore di sicurezza Sammy Azdoufal si è ritrovato a fissare i documenti d'identità di perfetti sconosciuti: il passaporto di una donna tedesca, la patente di guida di un uomo spagnolo e l'espressione sciocca di un'altra vittima. Erano tutti seduti a URL pubblici senza password né controllo di accesso, come se Internet fosse un deposito oggetti smarriti per dati sensibili.
Azdoufal, che in precedenza aveva usato Claude Code per scoprire che gli aspirapolvere robot DJI Romo e un milione di baby monitor erano imbarazzantemente facili da hackerare, questa volta ha trovato oltre 985.000 foto di documenti esposte. Se hai visitato un cannabis club in Spagna, la tua carta d'identità, numero di telefono, indirizzo, varietà preferite e consumo mensile potrebbero essere tra questi, inclusi 30.000 visitatori dagli Stati Uniti e, a quanto pare, alcune celebrità che "non vogliono che tutti sappiano che fumano erba".
Il colpevole non sono i club stessi, ma un'azienda irlandese chiamata Cannabis Club Systems (CCS), formalmente Nefos Solutions, che fornisce software per vendite, contabilità e ammissioni. Il loro sistema di verifica permette ai receptionist di caricare documenti e selfie sul cloud di Nefos. Ma quando Azdoufal ha decompilato la facoltativa app PuffPal, ha trovato una chiave segreta di Stripe in chiaro, la possibilità di richiamare il profilo di qualsiasi membro cambiando un numero e immagini di passaporti memorizzate a URL semplici come https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. I club caricavano 5.000 nuovi documenti al giorno.
Azdoufal ha anche trovato un portale di amministrazione accessibile via Internet pubblico, con password decifrabili in pochi minuti usando una GPU moderna. Anche i messaggi di chat privati tra club e membri erano vulnerabili. La buona notizia? Dopo un mese e una sollecitazione da The Verge, Nefos sta finalmente agendo: chiudendo PuffPal e le API vulnerabili, informando le autorità irlandesi e pianificando di notificare gli utenti colpiti. Il co-fondatore Andreas Nilsen dice di essere in contatto con l'Autorità per la protezione dei dati irlandese (DPC), che ha confermato il contatto.
Ma ci sono voluti cinque giorni e la minaccia di un articolo perché Nefos rispondesse ad Azdoufal. Inizialmente, l'azienda ha coperto le falle, poi, il 4 giugno, lo stesso passaporto di Azdoufal è riapparso online dopo che i club si erano lamentati delle immagini bloccate. Nilsen sostiene che le immagini fossero sicure "il 70% delle volte", ma è chiaro che Nefos ha dato priorità alla comodità del cliente rispetto alla sicurezza. Il 9 giugno, Azdoufal ha scoperto che anche dopo aver bloccato le immagini dei passaporti con token, tutto il resto (numeri di passaporto, numeri di telefono, indirizzi) era ancora accessibile tramite un semplice comando curl. Quel buco è stato poi chiuso.
Nilsen incolpa la società di outsourcing 9Series per aver sviluppato la vulnerabile app PuffPal, anche se ammette la responsabilità. Nefos si sta separando da 9Series e spera di lanciare una nuova app, verificata in modo indipendente, entro pochi mesi. Secondo la legge UE, Nefos avrebbe dovuto comunicare la violazione entro 72 ore, cosa che non ha fatto. "Sono sicuro che riceveremo qualsiasi tipo di sanzione ci sia", dice Nilsen.
Solo il mese scorso, il portale visti del Regno Unito ha esposto almeno 100.000 passaporti. Speriamo che questo sia il campanello d'allarme che finalmente spinga le aziende a smettere di trattare i dati personali come regali di festa.