Door een paar letters en cijfers in een webbrowser te typen, stond beveiligingsonderzoeker Sammy Azdoufal oog in oog met de identiteitsdocumenten van volslagen vreemden – het paspoort van een Duitse vrouw, het rijbewijs van een Spaanse man en de sullige uitdrukking van weer een ander slachtoffer. Ze stonden allemaal op openbare URL's zonder wachtwoord of toegangscontrole, alsof het internet een gevonden-voorwerpenbak voor gevoelige gegevens is.
Azdoufal, die eerder met Claude Code ontdekte dat DJI Romo robotstofzuigers en een miljoen babyfoons beschamend makkelijk te hacken waren, vond deze keer meer dan 985.000 foto-ID's blootgesteld. Als je ooit een cannabisclub in Spanje hebt bezocht, staan je ID, telefoonnummer, adres, favoriete strains en maandelijkse consumptie er misschien tussen – inclusief 30.000 bezoekers uit de Verenigde Staten en, naar verluidt, enkele beroemdheden die 'niet willen dat iedereen weet dat ze wiet roken'.
De boosdoener is niet de clubs zelf, maar een Iers bedrijf genaamd Cannabis Club Systems (CCS), formeel Nefos Solutions, dat software levert voor verkoop, boekhouding en toegang. Hun verificatiesysteem laat receptionisten ID's en selfies uploaden naar de cloud van Nefos. Maar toen Azdoufal de optionele PuffPal-app decompileerde, vond hij een Stripe-geheime sleutel in platte tekst, de mogelijkheid om elk lidprofiel op te roepen door een nummer te wijzigen, en pasfoto's opgeslagen op URL's zo simpel als https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Clubs uploadden dagelijks 5.000 nieuwe ID's.
Azdoufal vond ook een beheerdersportaal dat toegankelijk was via het openbare internet, met wachtwoorden die in minuten te kraken waren met een moderne GPU. Privéchatberichten tussen clubs en leden waren ook kwetsbaar. Het goede nieuws? Na een maand en een duwtje van The Verge onderneemt Nefos eindelijk actie – het sluit PuffPal en kwetsbare API's af, stelt de Ierse autoriteiten op de hoogte en is van plan getroffen gebruikers te informeren. Medeoprichter Andreas Nilsen zegt in contact te staan met de Ierse gegevensbeschermingsautoriteit (DPC), die het contact bevestigde.
Maar het duurde vijf dagen en de dreiging van een artikel voordat Nefos reageerde op Azdoufal. Aanvankelijk plakte het bedrijf de gaten dicht – maar op 4 juni verscheen Azdoufals eigen paspoort weer online nadat clubs klaagden over vergrendelde afbeeldingen. Nilsen beweert dat de afbeeldingen '70 procent van de tijd' veilig waren, maar het is duidelijk dat Nefos klantgemak boven veiligheid stelde. Op 9 juni ontdekte Azdoufal dat zelfs na het vergrendelen van pasfoto's met tokens, al het andere – paspoortnummers, telefoonnummers, adressen – nog steeds toegankelijk was via een simpel curl-commando. Dat gat is inmiddels gedicht.
Nilsen wijt het aan outsourcingbedrijf 9Series voor het ontwikkelen van de kwetsbare PuffPal-app, hoewel hij de verantwoordelijkheid erkent. Nefos neemt afscheid van 9Series en hoopt binnen enkele maanden een nieuwe, onafhankelijk geverifieerde app te lanceren. Volgens de EU-wetgeving had Nefos de inbreuk binnen 72 uur moeten melden – dat gebeurde niet. 'Ik weet zeker dat we een boete krijgen, wat voor dan ook,' zegt Nilsen.
Afgelopen maand nog stelde het Britse visumportaal minstens 100.000 paspoorten bloot. Laten we hopen dat dit de wake-upcall is die bedrijven eindelijk laat stoppen met het behandelen van persoonlijke gegevens als feestartikelen.