Tastând câteva litere și cifre într-un browser web, cercetătorul de securitate Sammy Azdoufal s-a trezit uitându-se la documentele de identitate ale unor străini completi – pașaportul unei femei germane, permisul de conducere al unui bărbat spaniol și expresia năucă a încă unei victime. Toate stăteau la adrese URL publice, fără parolă sau control al accesului, de parcă internetul ar fi un sertar de obiecte pierdute pentru date sensibile.
Azdoufal, care anterior a folosit Claude Code pentru a descoperi că aspiratoarele robot DJI Romo și un milion de camere pentru bebeluși erau jenant de ușor de spart, de data aceasta a găsit peste 985.000 de cărți de identitate foto expuse. Dacă ați vizitat un club de canabis în Spania, ID-ul, numărul de telefon, adresa, soiurile preferate și consumul lunar s-ar putea număra printre ele – inclusiv 30.000 de vizitatori din Statele Unite și, se pare, câteva celebrități care „nu vor ca toată lumea să știe că fumează iarbă”.
Vinovatul nu sunt cluburile în sine, ci o companie irlandeză numită Cannabis Club Systems (CCS), oficial Nefos Solutions, care oferă software pentru vânzări, contabilitate și admitere. Sistemul lor de verificare permite recepționerilor să încarce cărți de identitate și selfie-uri în cloud-ul Nefos. Dar când Azdoufal a decompilat aplicația opțională PuffPal, a găsit o cheie secretă Stripe în text clar, capacitatea de a trage profilul oricărui membru schimbând un număr și imagini ale pașapoartelor stocate la adrese URL la fel de simple ca https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Cluburile încărcau 5.000 de noi ID-uri zilnic.
Azdoufal a găsit, de asemenea, un portal de administrare accesibil prin internetul public, cu parole spartibile în câteva minute folosind un GPU modern. Mesajele private de chat între cluburi și membri erau, de asemenea, vulnerabile. Vestea bună? După o lună și un impuls de la The Verge, Nefos ia în sfârșit măsuri – închide PuffPal și API-urile vulnerabile, informează autoritățile irlandeze și plănuiește să notifice utilizatorii afectați. Co-fondatorul Andreas Nilsen spune că este în contact cu Autoritatea pentru Protecția Datelor (DPC) din Irlanda, care a confirmat contactul.
Dar a fost nevoie de cinci zile și de amenințarea cu un articol pentru ca Nefos să răspundă lui Azdoufal. Inițial, compania a acoperit găurile – apoi, pe 4 iunie, propriul pașaport al lui Azdoufal a reapărut online după ce cluburile s-au plâns de imaginile blocate. Nilsen susține că imaginile au fost sigure „70% din timp”, dar este clar că Nefos a prioritizat confortul clienților în detrimentul securității. Pe 9 iunie, Azdoufal a descoperit că, chiar și după blocarea imaginilor pașapoartelor cu token-uri, totul – numerele pașapoartelor, numerele de telefon, adresele – era încă accesibil printr-o simplă comandă curl. Acea gaură a fost de atunci închisă.
Nilsen dă vina pe firma de externalizare 9Series pentru dezvoltarea aplicației vulnerabile PuffPal, deși își asumă responsabilitatea. Nefos se desparte de 9Series și speră să lanseze o nouă aplicație, verificată independent, în câteva luni. În conformitate cu legea UE, Nefos ar fi trebuit să dezvăluie încălcarea în termen de 72 de ore – ceea ce nu a făcut. „Sunt sigur că vom primi orice fel de penalizare există”, spune Nilsen.
Doar luna trecută, Portalul de Vize al Marii Britanii a expus cel puțin 100.000 de pașapoarte. Să sperăm că acesta este semnalul de alarmă care va face companiile să înceteze să trateze datele personale ca pe niște cadouri de petrecere.