Een beveiligingsonderzoeker ontdekte onlangs dat bijna 985.000 paspoorten, rijbewijzen en andere identiteitsbewijzen met foto en gerelateerde persoonlijke informatie vrijwel zonder enige bescherming op het openbare internet openbaar werden gemaakt door een bedrijf dat softwarediensten levert aan Spaanse cannabisclubs. Elke hacker met gemiddelde technische vaardigheden kan deze gemakkelijk verkrijgen. Bij deze reeks gegevens zijn gebruikers van over de hele wereld betrokken, waaronder ongeveer 30.000 Amerikaanse bezoekers, evenals enkele beroemdheden. Hun identiteitsgegevens, persoonlijke selfies, contactinformatie, consumptiegewoonten en andere privé-informatie geregistreerd bij cannabisclubs in Spanje en andere plaatsen zijn mogelijk stilletjes openbaar gemaakt.
De kritieke fout werd ontdekt door beveiligingsonderzoeker Sammy Azdoufal, die eerder ernstige beveiligingsfouten in verschillende veegmachines, babyfoons en beveiligingscamera's heeft onthuld. Hij zei dat hij via een eenvoudige scriptscan meer dan 985.000 identiteitsfoto's op internet had ontdekt, waarvan het overgrote deel afkomstig was uit het Spaanse lidmaatschapsregistratiesysteem voor cannabisclubs. Deze bestanden worden opgeslagen onder uiterst eenvoudige, voorspelbare openbare URL's zonder wachtwoorden of toegangscontroles, waardoor de ID-afbeelding van elke gebruiker kan worden bekeken zolang het linkformaat bekend is.
De cannabisclubs beheren zelf niet rechtstreeks de relevante systemen, maar maken in plaats daarvan gebruik van software en clouddiensten van een Iers bedrijf genaamd Cannabis Club Systems (CCS), voorheen bekend als Nefos Solutions. CCS biedt verkoop-, financiële en toegangsverificatiesystemen voor clubs: het receptiepersoneel uploadt paspoort- of identiteitsfoto's en selfies van gebruikers naar de Nefos-cloud voor snelle identiteitsverificatie in de toekomst. In het traditionele model moeten leden elke keer dat ze de winkel binnenkomen een fysieke ID overleggen, maar met dit systeem kan het personeel ter vergelijking cloudgegevens opvragen. Sommige clubs gebruiken ook een mobiele app genaamd PuffPal om het toelatingsproces te versnellen door QR-codes te scannen.
Toen Azdoufal echter de PuffPal-applicatie decompileerde en analyseerde, ontdekte hij dat het algehele beveiligingsontwerp van Nefos vrijwel nutteloos was. Niet alleen is de sleutel tot het Stripe-betalingsplatform ingebed in duidelijke tekst in de app, maar de gebruikersprofielinterface hoeft slechts één enkel nummer te wijzigen om toegang te krijgen tot het volledige profiel van verschillende leden, dat gevoelige gegevens kan bevatten zoals telefoonnummers, thuisadressen, paspoortinformatie en persoonlijke voorkeuren voor cannabisgebruik. Wat ernstiger is, is dat het systeem ID-foto's opslaat op een openbaar adres zoals "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg" zonder enige token- of toestemmingsverificatie, en clubs uploaden op deze manier nog steeds elke dag ongeveer 5.000 nieuwe ID-foto's.
Azdoufal ontdekte ook dat een op de club gerichte managementbackend ook op het openbare netwerk zichtbaar was, en dat de zwakke wachtwoorden die voor clubaccounts werden gebruikt binnen enkele minuten konden worden gekraakt met brute kracht op moderne GPU's. Ook privéberichten tussen clubs en leden via de PuffPal-app zijn een potentieel lekrisico gebleken. Volgens hem maakt deze praktijk van het "op straat gooien van de sleutels van een hele kluis" het voor elke opzettelijke aanvaller mogelijk om deze zeer gevoelige identiteitsgegevens in batches te stelen en door te verkopen, waardoor onvoorspelbare schade wordt toegebracht aan de betrokken partijen.
Na tussenkomst van de media begon Nefos eindelijk concrete actie te ondernemen. Volgens de laatste testresultaten van Azdoufal op 10 juni heeft het bedrijf aangekondigd dat het tijdelijk het volledige PuffPal-systeem en de kwetsbare API zal afsluiten. Pasfoto's en persoonlijke gegevens lijken momenteel verhard en zijn niet langer rechtstreeks toegankelijk voor de buitenwereld via eerdere methoden. Het bedrijf verklaarde dat het de lokale regelgevende instanties op de hoogte heeft gesteld van de situatie, het probleem volledig zal herstellen en aansprakelijk zal zijn voor boetes, en het incident ook zal uitleggen aan gebruikers.
Mede-oprichter van Nefos, Andreas Nilsen, zei in een interview dat het bedrijf contact heeft opgenomen met de Ierse Data Protection Commission (DPC) over het datalek, wat ook via e-mail werd bevestigd door een DPC-woordvoerder. Nilsen zei dat ze “alle potentieel getroffen personen op de hoogte moeten stellen” en hoopte dat de DPC advies zou geven over hoe bedrijven aan deze verplichting kunnen voldoen. Hij beweerde ook dat er momenteel geen bewijs is dat andere buitenstaanders dan Azdoufal toegang hebben gekregen tot de gegevens.
Afgaande op de tijdlijn werd de reactie van Nefos op dit ernstige risico echter duidelijk vertraagd. Nadat Azdoufal proactief contact had opgenomen met het bedrijf, reageerde Nefos pas vijf dagen nadat de media hadden aangegeven de zaak te zullen melden. Gedurende deze periode was het bedrijf meer bezig met 'patchen' om lokale kwetsbaarheden af te dichten om te voorkomen dat de bedrijfsactiviteiten zouden worden aangetast, in plaats van systemen met beveiligingsrisico's fundamenteel stop te zetten.
Wat nog ironischer is, is dat Azdoufal begin juni van dit jaar, toen hij verslaggevers informeerde dat de pasfoto vergrendeld leek te zijn, de verslaggever onverwachts ontdekte dat Azdoufals eigen paspoortafbeelding weer publiekelijk online zichtbaar was. De reden is dat Nefos weliswaar tijdelijk de toegang tot afbeeldingen beperkte, maar dat dit de club er niet onmiddellijk van weerhield de PuffPal-app te gebruiken. Klanten van laatstgenoemde klaagden dat "het laden van afbeeldingen niet zo gemakkelijk is als voorheen", wat Nefos ertoe aanzette de toegangsbeperkingen opnieuw te versoepelen. Nilsen voerde aan dat de beelden ongeveer “70 procent van de tijd” werden geblokkeerd tijdens hun gesprekken met onderzoekers en de media, maar het bleek dat het bedrijf duidelijk de voorkeur gaf aan het laatste tussen het beschermen van de privacy van gebruikers en het behouden van de klantervaring.
Op 9 juni ontdekte Azdoufal dat, hoewel Nefos toegangstokens had toegevoegd voor bestanden zoals paspoortafbeeldingen, andere gegevens in het gebruikersprofiel nog steeds "streaking" vertoonden. Een hacker hoeft alleen maar een verzoek als "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&lingual=en'" in de opdrachtregel in te voeren om een volledige set persoonlijke informatie te verkrijgen, waaronder paspoortnummer, telefoonnummer, e-mailadres en thuisadres. Nadat Nefos er opnieuw aan werd herinnerd door onderzoekers en de media, blokkeerde Nefos deze interface volledig.
Ondanks de twijfels gaf Nilsen toe dat de uiteindelijke verantwoordelijkheid bij het bedrijf ligt, maar legde hij ook een deel van de schuld af bij het outsourcingteam. Hij noemde een outsourcingbedrijf genaamd 9Series en zei dat het verantwoordelijk was voor de ontwikkeling van de PuffPal-applicatie en gerelateerde API's, en het waren deze interfaces die het mogelijk maakten een grote hoeveelheid onbeschermde gegevens rechtstreeks van de gebruikersdatabase van Nefos naar het openbare netwerk over te dragen. Op het moment van schrijven heeft 9Series nog niet gereageerd.
Nu PuffPal is gesloten, informeert Nefos cannabisclubs via e-mail dat hun leden niet langer QR-codes kunnen gebruiken om binnen te komen. De club kan echter nog steeds relevante identiteitsinformatie van de Nefos-server opvragen voor verificatie ter plaatse door de RFID-kaart van het lid te scannen of het telefoonnummer in te voeren. Nilsen benadrukte dat het bedrijf het onveilige PuffPal niet opnieuw zou lanceren alleen omdat clubs erom vroegen, maar van plan is om in de komende maanden een nieuwe app te lanceren na het beëindigen van de samenwerking met 9Series. Hij beloofde dat het nieuwe systeem zal worden gecontroleerd door onafhankelijke beveiligingsonderzoekers en pas weer in gebruik zal worden genomen nadat is bevestigd dat het "100 procent veilig" is.
Volgens de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie moeten bedrijven een datalek binnen 72 uur nadat het zich heeft voorgedaan melden aan toezichthouders, anders riskeren ze hoge boetes. Nilsen erkende ook dat het bedrijf de openbaarmaking niet binnen de wettelijke termijn heeft afgerond en daarom “zeker zal worden onderworpen aan een of andere vorm van boete”. Vorige maand nog trok een website genaamd "UK Visa Portal" ook de publieke aandacht omdat hij minstens 100.000 paspoorten en selfies blootstelde aan raadbare URL's. Insiders uit de sector zijn bezorgd dat soortgelijke incidenten zich opstapelen, waardoor de nalatigheid en kortzichtigheid van steeds meer bedrijven bij het omgaan met zeer gevoelige identiteitsinformatie aan het licht komt en opnieuw de alarmbel luidt over de gegevensbeveiliging.