Bir güvenlik araştırmacısı olan Sammy Azdoufal, web tarayıcısına birkaç harf ve rakam yazarak kendini tamamen yabancıların kimlik belgelerine bakarken buldu: Alman bir kadının pasaportu, İspanyol bir adamın ehliyeti ve bir başka kurbanın komik ifadesi. Tümü, herhangi bir şifre veya erişim kontrolü olmaksızın herkese açık URL'lerde duruyordu; sanki internet hassas veriler için bir kayıp eşya bürosu gibiydi.
Daha önce Claude Code kullanarak DJI Romo robot süpürgelerinin ve bir milyon bebek monitörünün utanç verici derecede kolay hacklenebilir olduğunu keşfeden Azdoufal, bu sefer 985.000'den fazla fotoğraflı kimlik kartının ifşa olduğunu buldu. İspanya'da bir esrar kulübünü ziyaret ettiyseniz, kimliğiniz, telefon numaranız, adresiniz, favori türleriniz ve aylık tüketiminiz bunların arasında olabilir - buna 30.000 ABD'li ziyaretçi ve bildirildiğine göre "herkesin esrar içtiklerini bilmesini istemeyen" bazı ünlüler de dahil.
Suçlu kulüplerin kendisi değil, satış, muhasebe ve giriş için yazılım sağlayan İrlandalı bir şirket olan Cannabis Club Systems (CCS), resmi adıyla Nefos Solutions. Doğrulama sistemleri, resepsiyonistlerin kimlik kartlarını ve özçekimleri Nefos'un bulutuna yüklemesine izin veriyor. Ancak Azdoufal, isteğe bağlı PuffPal uygulamasını tersine mühendislikle incelediğinde, düz metin halinde bir Stripe gizli anahtarı, bir numarayı değiştirerek herhangi bir üyenin profiline erişme yeteneği ve https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg kadar basit URL'lerde saklanan pasaport görselleri buldu. Kulüpler günde 5.000 yeni kimlik kartı yüklüyordu.
Azdoufal ayrıca herkese açık internet üzerinden erişilebilen ve modern bir GPU ile dakikalar içinde kırılabilen şifrelere sahip bir yönetici portalı buldu. Kulüpler ve üyeler arasındaki özel sohbet mesajları da savunmasızdı. İyi haber mi? Bir ay ve The Verge'den bir uyarı sonrasında Nefos nihayet harekete geçiyor - PuffPal ve savunmasız API'leri kapatıyor, İrlanda makamlarını bilgilendiriyor ve etkilenen kullanıcıları bilgilendirmeyi planlıyor. Kurucu ortak Andreas Nilsen, İrlanda Veri Koruma Otoritesi (DPC) ile temasta olduğunu ve DPC'nin teması doğruladığını söylüyor.
Ancak Nefos'un Azdoufal'a yanıt vermesi beş gün ve bir haber tehdidi aldı. Başlangıçta şirket delikleri geçici olarak kapattı - ardından 4 Haziran'da, kulüpler kilitli görseller hakkında şikayet ettikten sonra Azdoufal'ın kendi pasaportu yeniden çevrimiçi oldu. Nilsen, görsellerin "yüzde 70 oranında" güvende olduğunu iddia ediyor, ancak Nefos'un güvenlik yerine müşteri rahatlığına öncelik verdiği açık. 9 Haziran'da Azdoufal, pasaport görsellerini tokenlerle kilitledikten sonra bile diğer her şeyin - pasaport numaraları, telefon numaraları, adresler - basit bir curl komutuyla hâlâ erişilebilir olduğunu buldu. Bu açık o zamandan beri kapatıldı.
Nilsen, savunmasız PuffPal uygulamasını geliştirmek için dış kaynak kullanımı firması 9Series'i suçluyor, ancak sorumluluğu kabul ediyor. Nefos, 9Series ile yollarını ayırıyor ve aylar içinde bağımsız olarak doğrulanmış yeni bir uygulama başlatmayı umuyor. AB yasalarına göre Nefos, ihlali 72 saat içinde açıklamalıydı - bunu yapmadı. "Herhalde ne ceza varsa alırız," diyor Nilsen.
Daha geçen ay, İngiltere Vize Portalı en az 100.000 pasaportu ifşa etti. Umalım ki bu, şirketlerin kişisel verileri parti hediyesi gibi görmeyi bırakmaları için son uyarı olsun.