安全研究员萨米·阿兹杜法尔在浏览器里敲了几个字母和数字,就看到了完全陌生人的身份文件——一位德国女性的护照、一位西班牙男性的驾照,以及另一个受害者傻乎乎的表情。这些文件都挂在公共URL上,没有密码或访问控制,仿佛互联网就是个失物招领处,专门存放敏感数据。
阿兹杜法尔此前曾用Claude Code发现DJI Romo机器人吸尘器和一百万个婴儿监视器极易被黑,这次他又发现了超过98.5万张照片ID被曝光。如果你去过西班牙的某家大麻俱乐部,你的身份证、电话号码、地址、最爱的大麻品种和月消费量可能就在其中——包括3万名美国游客,以及一些“不想让所有人知道自己抽大麻”的名人。
罪魁祸首不是俱乐部本身,而是一家名为Cannabis Club Systems(CCS)的爱尔兰公司,正式名称为Nefos Solutions,它提供销售、会计和入会软件。其验证系统让前台接待员将身份证和自拍照上传到Nefos的云端。但当阿兹杜法尔反编译了可选的PuffPal应用后,他发现了一个明文存储的Stripe密钥,只需更改一个数字就能调出任何会员的资料,而护照图片的URL简单到像这样:https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg。俱乐部每天上传5000张新身份证。
阿兹杜法尔还发现了一个可通过公共互联网访问的管理门户,其密码用现代GPU几分钟就能破解。俱乐部与会员之间的私密聊天信息也处于危险之中。好消息是?一个月后,在The Verge的催促下,Nefos终于采取了行动——关闭PuffPal和有漏洞的API,通知爱尔兰当局,并计划通知受影响的用户。联合创始人安德烈亚斯·尼尔森表示,他已与爱尔兰数据保护局(DPC)取得联系,后者也确认了此事。
但Nefos花了五天时间,并面临报道威胁,才回复阿兹杜法尔。起初,公司只是掩盖了漏洞——然后,在6月4日,阿兹杜法尔自己的护照再次出现在网上,因为俱乐部抱怨图片被锁定。尼尔森声称图片“70%的时间”是安全的,但很明显Nefos将客户便利性置于安全性之上。6月9日,阿兹杜法尔发现,即使护照图片用令牌锁定,其他一切——护照号码、电话号码、地址——仍然可以通过一个简单的curl命令访问。这个漏洞后来已被修复。
尼尔森将责任归咎于外包公司9Series开发了有漏洞的PuffPal应用,尽管他承认自己也有责任。Nefos正在与9Series分道扬镳,并希望在几个月内推出一款新的、经过独立验证的应用。根据欧盟法律,Nefos应在72小时内披露数据泄露——但它没有做到。“我相信我们会受到任何形式的处罚,”尼尔森说。
就在上个月,英国签证门户网站暴露了至少10万本护照。希望这次能敲响警钟,让公司们别再拿个人数据当派对礼品了。