Wpisując kilka liter i cyfr w przeglądarkę, badacz bezpieczeństwa Sammy Azdoufal znalazł się przed dokumentami tożsamości zupełnie obcych osób – paszportem Niemki, prawem jazdy Hiszpana i głupkowatym wyrazem twarzy kolejnej ofiary. Wszystkie znajdowały się na publicznych adresach URL bez hasła ani kontroli dostępu, jakby internet był skrzynką na rzeczy znalezione dla wrażliwych danych.
Azdoufal, który wcześniej użył Claude Code do odkrycia, że roboty odkurzające DJI Romo i milion monitorów dla dzieci były żenująco łatwe do zhakowania, tym razem znalazł ponad 985 000 zdjęć dokumentów tożsamości wystawionych na widok publiczny. Jeśli odwiedziłeś klub konopny w Hiszpanii, twój dowód, numer telefonu, adres, ulubione szczepy i miesięczne spożycie mogą być wśród nich – w tym 30 000 odwiedzających ze Stanów Zjednoczonych i, podobno, niektórzy celebryci, którzy „nie chcą, żeby wszyscy wiedzieli, że palą trawkę.”
Winowajcą nie są same kluby, ale irlandzka firma Cannabis Club Systems (CCS), formalnie Nefos Solutions, która dostarcza oprogramowanie do sprzedaży, księgowości i wejść. Ich system weryfikacji pozwala recepcjonistom przesyłać dowody i selfie do chmury Nefos. Ale kiedy Azdoufal zdekompilował opcjonalną aplikację PuffPal, znalazł klucz tajny Stripe w czystym tekście, możliwość wyciągnięcia profilu dowolnego członka przez zmianę numeru oraz obrazy paszportów przechowywane pod adresami URL tak prostymi jak https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Kluby przesyłały 5000 nowych dowodów dziennie.
Azdoufal znalazł również portal administracyjny dostępny przez publiczny internet, z hasłami do złamania w kilka minut przy użyciu nowoczesnego GPU. Prywatne czaty między klubami a członkami również były podatne na ataki. Dobra wiadomość? Po miesiącu i ponagleniu ze strony The Verge, Nefos wreszcie podejmuje działania – zamyka PuffPal i podatne API, informuje irlandzkie władze i planuje powiadomić dotkniętych użytkowników. Współzałożyciel Andreas Nilsen mówi, że jest w kontakcie z irlandzkim organem ochrony danych (DPC), który potwierdził kontakt.
Ale minęło pięć dni i groźba publikacji artykułu, zanim Nefos odpowiedział Azdoufalowi. Początkowo firma łatała dziury – potem, 4 czerwca, własny paszport Azdoufala pojawił się ponownie online, gdy kluby narzekały na zablokowane obrazy. Nilsen twierdzi, że obrazy były bezpieczne „w 70 procentach przypadków”, ale jasne jest, że Nefos przedkładał wygodę klientów nad bezpieczeństwo. 9 czerwca Azdoufal odkrył, że nawet po zablokowaniu obrazów paszportów tokenami, wszystko inne – numery paszportów, numery telefonów, adresy – było nadal dostępne za pomocą prostego polecenia curl. Ta dziura została już zamknięta.
Nilsen obwinia firmę outsourcingową 9Series za opracowanie podatnej aplikacji PuffPal, choć przyznaje się do odpowiedzialności. Nefos rozstaje się z 9Series i ma nadzieję w ciągu kilku miesięcy uruchomić nową, niezależnie zweryfikowaną aplikację. Zgodnie z prawem UE, Nefos powinien był ujawnić naruszenie w ciągu 72 godzin – czego nie zrobił. „Jestem pewien, że dostaniemy jakąś karę” – mówi Nilsen.
Dopiero w zeszłym miesiącu portal wizowy Wielkiej Brytanii ujawnił co najmniej 100 000 paszportów. Miejmy nadzieję, że to będzie sygnał alarmowy, który w końcu sprawi, że firmy przestaną traktować dane osobowe jak upominki imprezowe.