ブラウザに数文字のアルファベットと数字を打ち込むだけで、セキュリティ研究者のSammy Azdoufal氏は、まったくの他人の身分証明書を目の当たりにした——ドイツ人女性のパスポート、スペイン人男性の運転免許証、そしてまた別の被害者の間抜けな表情。すべてがパスワードもアクセス制限もない公開URLに置かれており、あたかもインターネットが機密データの忘れ物預かり所であるかのようだった。
Azdoufal氏は以前、Claude Codeを使ってDJI Romoロボット掃除機や100万台のベビーモニターが驚くほど簡単にハッキングできることを発見したが、今回は98万5千件以上の写真付きIDが露出しているのを見つけた。もしスペインのカンナビスクラブを訪れたことがあれば、あなたのID、電話番号、住所、お気に入りの strains、月間消費量がその中に含まれているかもしれない——米国からの訪問者3万人、そして「自分がマリファナを吸っていることを皆に知られたくない」という有名人も含まれているという。
原因はクラブ自体ではなく、アイルランドの企業Cannabis Club Systems(CCS)、正式名称Nefos Solutionsだ。同社は販売、会計、入場管理のためのソフトウェアを提供している。その認証システムでは、受付係がIDと自撮り写真をNefosのクラウドにアップロードできる。しかし、Azdoufal氏がオプションのPuffPalアプリを逆コンパイルしたところ、平文のStripe秘密鍵、番号を変えるだけで任意のメンバーのプロフィールを取得できる機能、そして「https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg」のような単純なURLに保存されたパスポート画像を発見した。クラブは毎日5,000件の新しいIDをアップロードしていた。
Azdoufal氏はまた、公開インターネット経由でアクセス可能な管理ポータルを発見し、そのパスワードは最新のGPUを使えば数分で解読可能だった。クラブとメンバー間のプライベートチャットメッセージも脆弱だった。良いニュースは?1ヶ月後、The Vergeからの催促を受けて、Nefosがようやく行動を起こしたことだ——PuffPalと脆弱なAPIを停止し、アイルランド当局に通報し、影響を受けたユーザーに通知する予定だ。共同創業者のAndreas Nilsen氏はアイルランドデータ保護庁(DPC)と連絡を取っており、DPCも接触を確認した。
しかし、NefosがAzdoufal氏に返答するまでに5日間と記事の脅しが必要だった。当初、同社は穴をふさぐふりをした——その後、6月4日、クラブが画像のロックダウンに抗議したため、Azdoufal氏自身のパスポートが再びオンラインに現れた。Nilsen氏は画像が「70%の時間」安全だったと主張するが、Nefosがセキュリティよりも顧客の利便性を優先したことは明らかだ。6月9日、Azdoufal氏は、パスポート画像をトークンでロックした後でも、それ以外のすべて——パスポート番号、電話番号、住所——が単純なcurlコマンドでアクセス可能であることを発見した。その穴はその後塞がれた。
Nilsen氏は脆弱なPuffPalアプリを開発したのは外部委託先の9Seriesのせいだと非難するが、責任は認めている。Nefosは9Seriesと決別し、数ヶ月以内に新たな独立検証済みアプリを立ち上げる予定だ。EU法の下では、Nefosは72時間以内にデータ漏洩を開示すべきだった——それは行われなかった。「何らかの罰則は受けるでしょう」とNilsen氏は言う。
つい先月も、英国ビザポータルで少なくとも10万件のパスポートが露出した。これが、企業が個人データをパーティーのお土産のように扱うのをやめるための最後の目覚ましとなることを願おう。