Genom att skriva några bokstäver och siffror i en webbläsare fann säkerhetsforskaren Sammy Azdoufal sig själv stirrande på identitetshandlingar från fullständiga främlingar – ett tyskt pass, ett spanskt körkort och den fåniga minen hos ännu ett offer. Alla låg på offentliga webbadresser utan lösenord eller åtkomstkontroll, som om internet vore en glömsk låda för känslig data.
Azdoufal, som tidigare använde Claude Code för att upptäcka att DJI Romo robotdammsugare och en miljon babyvakter var pinsamt lätta att hacka, hittade den här gången över 985 000 fotolegitimationer exponerade. Om du har besökt en cannabisklubb i Spanien kan ditt ID, telefonnummer, adress, favoritstrain och månatliga konsumtion finnas bland dem – inklusive 30 000 besökare från USA och, enligt uppgift, några kändisar som ”inte vill att alla ska veta att de röker gräs”.
Syndabocken är inte klubbarna själva, utan ett irländskt företag som heter Cannabis Club Systems (CCS), formellt Nefos Solutions, som tillhandahåller programvara för försäljning, redovisning och inpassering. Deras verifieringssystem låter receptionister ladda upp ID och selfies till Nefos moln. Men när Azdoufal dekompilerade den valfria PuffPal-appen hittade han en Stripe-hemlig nyckel i klartext, möjligheten att dra upp vilken medlems profil som helst genom att ändra en siffra, och passbilder lagrade på webbadresser så enkla som https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg. Klubbarna laddade upp 5 000 nya ID dagligen.
Azdoufal hittade också en adminportal tillgänglig via det offentliga internet, med lösenord som kunde knäckas på minuter med ett modernt grafikkort. Privata chattmeddelanden mellan klubbar och medlemmar var också sårbara. Den goda nyheten? Efter en månad och en knuff från The Verge agerar Nefos äntligen – stänger ner PuffPal och sårbara API:er, informerar irländska myndigheter och planerar att meddela drabbade användare. Medgrundaren Andreas Nilsen säger att han är i kontakt med Irlands dataskyddsmyndighet (DPC), som bekräftade kontakten.
Men det tog fem dagar och hotet om en artikel för Nefos att svara Azdoufal. Inledningsvis lappade företaget över hålen – sedan, den 4 juni, dök Azdoufals eget pass upp online igen efter att klubbar klagat på låsta bilder. Nilsen hävdar att bilderna var säkra ”70 procent av tiden”, men det är tydligt att Nefos prioriterade kundernas bekvämlighet framför säkerhet. Den 9 juni upptäckte Azdoufal att även efter att ha låst passbilder med tokens, var allt annat – passnummer, telefonnummer, adresser – fortfarande tillgängligt via ett enkelt curl-kommando. Det hålet har sedan täppts.
Nilsen skyller på outsourcingföretaget 9Series för att ha utvecklat den sårbara PuffPal-appen, även om han tar på sig ansvaret. Nefos går skilda vägar med 9Series och hoppas kunna lansera en ny, oberoende verifierad app inom några månader. Enligt EU-lag borde Nefos ha rapporterat intrånget inom 72 timmar – något man inte gjorde. ”Jag är säker på att vi får vilket straff det nu blir”, säger Nilsen.
Bara förra månaden exponerade UK Visa Portal minst 100 000 pass. Låt oss hoppas att detta är väckarklockan som äntligen får företag att sluta behandla personuppgifter som partypresenter.