Набрав несколько букв и цифр в веб-браузере, исследователь безопасности Сэмми Аздуфаль обнаружил, что смотрит на удостоверения личности совершенно незнакомых людей — паспорт немецкой женщины, водительские права испанца и глупое выражение лица очередной жертвы. Все они лежали на общедоступных URL-адресах без пароля или контроля доступа, как будто интернет — это коробка забытых вещей для конфиденциальных данных.
Аздуфаль, который ранее с помощью Claude Code обнаружил, что роботы-пылесосы DJI Romo и миллион видеонянь embarrassingly легко взломать, на этот раз нашел более 985 000 фото-ID в открытом доступе. Если вы посещали каннабис-клуб в Испании, ваше удостоверение личности, номер телефона, адрес, любимые сорта и ежемесячное потребление могут быть среди них — включая 30 000 посетителей из США и, по сообщениям, некоторых знаменитостей, которые «не хотят, чтобы все знали, что они курят травку».
Виновник — не сами клубы, а ирландская компания Cannabis Club Systems (CCS), официально Nefos Solutions, которая предоставляет программное обеспечение для продаж, бухгалтерии и пропусков. Их система верификации позволяет администраторам загружать ID и селфи в облако Nefos. Но когда Аздуфаль декомпилировал опциональное приложение PuffPal, он нашел секретный ключ Stripe в открытом тексте, возможность получить профиль любого участника, изменив номер, и изображения паспортов, хранящиеся по URL-адресам вида https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Клубы загружали 5000 новых ID ежедневно.
Аздуфаль также нашел административный портал, доступный через общедоступный интернет, с паролями, которые можно взломать за минуты с помощью современного GPU. Приватные чаты между клубами и участниками также были уязвимы. Хорошая новость? Через месяц и после толчка от The Verge Nefos наконец принимает меры — закрывает PuffPal и уязвимые API, уведомляет ирландские власти и планирует оповестить пострадавших пользователей. Сооснователь Андреас Нильсен говорит, что он на связи с Управлением по защите данных Ирландии (DPC), которое подтвердило контакт.
Но потребовалось пять дней и угроза публикации, чтобы Nefos ответил Аздуфалю. Изначально компания залатала дыры — затем, 4 июня, собственный паспорт Аздуфаля снова появился в сети после того, как клубы пожаловались на заблокированные изображения. Нильсен утверждает, что изображения были защищены «на 70 процентов», но ясно, что Nefos ставил удобство клиентов выше безопасности. 9 июня Аздуфаль обнаружил, что даже после блокировки изображений паспортов токенами всё остальное — номера паспортов, телефоны, адреса — всё ещё было доступно через простой curl-запрос. Эта дыра с тех пор закрыта.
Нильсен винит аутсорсинговую фирму 9Series в разработке уязвимого приложения PuffPal, хотя признает ответственность. Nefos расстается с 9Series и надеется запустить новое, независимо проверенное приложение в течение нескольких месяцев. По закону ЕС Nefos должен был сообщить об утечке в течение 72 часов — чего он не сделал. «Уверен, мы получим какое-нибудь наказание», — говорит Нильсен.
Только в прошлом месяце портал виз Великобритании раскрыл как минимум 100 000 паспортов. Будем надеяться, что это станет звонком, который наконец заставит компании перестать относиться к личным данным как к праздничным сувенирам.