보안 연구원 새미 아즈두팔은 웹 브라우저에 몇 글자와 숫자를 입력하자 완전히 낯선 사람들의 신분 증명서를 마주하게 됐다. 독일 여성의 여권, 스페인 남성의 운전면허증, 또 다른 피해자의 우스꽝스러운 표정까지. 이 모든 것이 비밀번호나 접근 통제 없이 공개 URL에 놓여 있었는데, 마치 인터넷이 민감한 데이터를 위한 분실물 보관소인 양 방치되어 있었다.
이전에 클로드 코드를 사용해 DJI 로모 로봇 청소기와 백만 대의 베이비 모니터가 부끄러울 정도로 해킹하기 쉽다는 사실을 발견했던 아즈두팔은 이번에는 985,000개 이상의 사진 신분증이 노출된 것을 발견했다. 스페인의 카나비스 클럽을 방문한 적이 있다면, 당신의 신분증, 전화번호, 주소, 선호하는 대마초 품종, 월간 소비량이 그중에 포함될 수 있다. 여기에는 미국에서 온 3만 명의 방문객과, 보도에 따르면 "자신이 대마초를 피운다는 사실을 모두가 알기를 원하지 않는" 일부 유명인사도 포함된다.
문제의 원인은 클럽 자체가 아니라, 아일랜드 회사인 카나비스 클럽 시스템즈(CCS, 공식 명칭 네포스 솔루션즈)다. 이 회사는 판매, 회계, 입장 관리를 위한 소프트웨어를 제공한다. 이들의 인증 시스템은 접수 직원이 신분증과 셀카를 네포스의 클라우드에 업로드할 수 있게 한다. 그러나 아즈두팔이 선택 사항인 PuffPal 앱을 디컴파일했을 때, 그는 평문으로 된 Stripe 비밀 키, 숫자를 변경하여 모든 회원의 프로필을 불러올 수 있는 기능, 그리고 https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg처럼 단순한 URL에 저장된 여권 이미지를 발견했다. 클럽들은 매일 5,000개의 새 신분증을 업로드하고 있었다.
아즈두팔은 또한 공개 인터넷을 통해 접근 가능한 관리자 포털을 발견했는데, 비밀번호는 최신 GPU를 사용하면 몇 분 안에 크랙될 수 있었다. 클럽과 회원 간의 비공개 채팅 메시지도 취약했다. 좋은 소식은? 한 달 후, 더 버지의 재촉을 받은 네포스가 마침내 조치를 취하고 있다는 점이다. PuffPal과 취약한 API를 종료하고, 아일랜드 당국에 통보하며, 영향을 받은 사용자에게 알릴 계획이다. 공동 창업자 안드레아스 닐슨은 아일랜드 데이터 보호 당국(DPC)과 연락 중이며, DPC도 접촉을 확인했다.
그러나 네포스가 아즈두팔에게 답변하기까지는 5일이 걸렸고, 기사화 위협이 필요했다. 처음에 회사는 구멍을 임시로 막았지만, 6월 4일 아즈두팔의 자신의 여권이 클럽들이 잠긴 이미지에 대해 불평한 후 다시 온라인에 나타났다. 닐슨은 이미지가 "70%의 시간 동안" 안전했다고 주장하지만, 네포스가 보안보다 고객 편의를 우선시했다는 것은 분명하다. 6월 9일, 아즈두팔은 여권 이미지를 토큰으로 잠근 후에도 여권 번호, 전화번호, 주소 등 다른 모든 것이 간단한 curl 명령어로 여전히 접근 가능하다는 것을 발견했다. 그 구멍은 이후 막혔다.
닐슨은 취약한 PuffPal 앱을 개발한 아웃소싱 회사 9Series를 비난하지만, 책임을 인정한다. 네포스는 9Series와 결별하고 몇 달 안에 독립적으로 검증된 새 앱을 출시하기를 희망한다. EU 법에 따라 네포스는 72시간 이내에 침해 사실을 공개했어야 했지만, 그러지 않았다. "어떤 처벌이든 받을 것이라고 확신한다"고 닐슨은 말한다.
지난달에만 영국 비자 포털이 최소 10만 개의 여권을 노출했다. 이번 사건이 기업들이 개인 데이터를 파티 선물처럼 취급하는 것을 멈추게 하는 경종이 되기를 바란다.