Digitando algumas letras e números em um navegador, o pesquisador de segurança Sammy Azdoufal se viu encarando os documentos de identidade de completos estranhos – o passaporte de uma alemã, a carteira de motorista de um espanhol e a expressão boba de mais uma vítima. Todos estavam em URLs públicas, sem senha ou controle de acesso, como se a internet fosse um achados e perdidos de dados sensíveis.
Azdoufal, que anteriormente usou o Claude Code para descobrir que os aspiradores robô DJI Romo e um milhão de babás eletrônicas eram vergonhosamente fáceis de hackear, desta vez encontrou mais de 985.000 documentos de identificação com foto expostos. Se você já visitou um clube de cannabis na Espanha, sua identidade, número de telefone, endereço, strains favoritas e consumo mensal podem estar entre eles – incluindo 30.000 visitantes dos Estados Unidos e, supostamente, algumas celebridades que “não querem que todo mundo saiba que fumam maconha”.
O culpado não são os clubes em si, mas uma empresa irlandesa chamada Cannabis Club Systems (CCS), formalmente Nefos Solutions, que fornece software para vendas, contabilidade e admissões. Seu sistema de verificação permite que recepcionistas enviem identidades e selfies para a nuvem da Nefos. Mas quando Azdoufal descompilou o aplicativo opcional PuffPal, encontrou uma chave secreta do Stripe em texto puro, a capacidade de puxar o perfil de qualquer membro alterando um número e imagens de passaporte armazenadas em URLs tão simples quanto https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Os clubes estavam enviando 5.000 novas identidades diariamente.
Azdoufal também encontrou um portal de administração acessível pela internet pública, com senhas que podiam ser quebradas em minutos usando uma GPU moderna. Mensagens de chat privadas entre clubes e membros também estavam vulneráveis. A boa notícia? Depois de um mês e um empurrão do The Verge, a Nefos finalmente está agindo – desativando o PuffPal e APIs vulneráveis, informando as autoridades irlandesas e planejando notificar os usuários afetados. O cofundador Andreas Nilsen diz que está em contato com a Autoridade de Proteção de Dados da Irlanda (DPC), que confirmou o contato.
Mas levou cinco dias e a ameaça de uma reportagem para a Nefos responder a Azdoufal. Inicialmente, a empresa tapou os buracos – então, em 4 de junho, o próprio passaporte de Azdoufal reapareceu online depois que os clubes reclamaram das imagens bloqueadas. Nilsen afirma que as imagens estavam seguras “70% do tempo”, mas está claro que a Nefos priorizou a conveniência do cliente em detrimento da segurança. Em 9 de junho, Azdoufal descobriu que, mesmo depois de bloquear as imagens dos passaportes com tokens, todo o resto – números de passaporte, números de telefone, endereços – ainda estava acessível via um simples comando curl. Esse buraco foi fechado desde então.
Nilsen culpa a terceirizada 9Series pelo desenvolvimento do vulnerável aplicativo PuffPal, embora assuma a responsabilidade. A Nefos está se separando da 9Series e espera lançar um novo aplicativo, verificado de forma independente, em questão de meses. Pela lei da UE, a Nefos deveria ter divulgado a violação em 72 horas – o que não fez. “Tenho certeza de que receberemos qualquer tipo de penalidade que existir”, diz Nilsen.
No mês passado, o Portal de Vistos do Reino Unido expôs pelo menos 100.000 passaportes. Esperemos que este seja o alerta que finalmente faça as empresas pararem de tratar dados pessoais como brindes de festa.