Un investigador de seguridad descubrió recientemente que casi 985.000 pasaportes, licencias de conducir y otras identificaciones con fotografía e información personal relacionada fueron expuestas en la Internet pública con una protección casi nula por parte de una empresa que proporciona servicios de software para clubes de cannabis españoles. Cualquier hacker con conocimientos técnicos medios puede obtenerlos fácilmente. Este lote de datos involucra a usuarios de todo el mundo, incluidos unos 30.000 visitantes estadounidenses, así como algunas celebridades. Es posible que su información de identidad, selfies personales, información de contacto, hábitos de consumo y otra información privada registrada en clubes de cannabis en España y otros lugares hayan quedado silenciosamente expuestas.
La falla crítica fue descubierta por el investigador de seguridad Sammy Azdoufal, quien anteriormente reveló fallas de seguridad graves en varias barredoras, monitores para bebés y cámaras de seguridad. Dijo que mediante un simple escaneo de guiones descubrió más de 985.000 fotografías de identificación en Internet, la gran mayoría de las cuales procedían del sistema de registro de miembros de clubes de cannabis de España. Estos archivos se almacenan en URL públicas extremadamente simples y predecibles sin contraseñas ni controles de acceso, lo que permite ver la imagen de identificación de cualquier usuario siempre que se conozca el formato del enlace.
Los propios clubes de cannabis no operan directamente los sistemas pertinentes, sino que utilizan software y servicios en la nube proporcionados por una empresa irlandesa llamada Cannabis Club Systems (CCS), anteriormente conocida como Nefos Solutions. CCS proporciona sistemas de verificación de ventas, finanzas y admisión para clubes: el personal de recepción cargará las fotografías y selfies del pasaporte o documento de identidad de los usuarios en la nube de Nefos para una rápida verificación de identidad en el futuro. En el modelo tradicional, los miembros deben presentar identificaciones físicas cada vez que ingresan a la tienda, pero este sistema permite al personal acceder a datos de la nube para compararlos. Algunos clubes también utilizan una aplicación móvil llamada PuffPal para acelerar el proceso de admisión escaneando códigos QR.
Sin embargo, cuando Azdoufal descompiló y analizó la aplicación PuffPal, descubrió que el diseño de seguridad general de Nefos era casi inútil. La clave de la plataforma de pago Stripe no solo está integrada en texto claro dentro de la aplicación, sino que la interfaz del perfil de usuario solo necesita modificar un único número para acceder al perfil completo de diferentes miembros, que pueden incluir datos confidenciales como números de teléfono, direcciones particulares, información de pasaporte y preferencias personales de consumo de cannabis. Lo que es más grave es que el sistema guarda fotos de identificación en una dirección pública como "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg" sin ningún token o verificación de permiso, y los clubes siguen subiendo alrededor de 5.000 nuevas fotos de identificación de esta manera cada día.
Azdoufal también descubrió que un backend de administración orientado al club también estaba expuesto en la red pública, y que las contraseñas débiles utilizadas para las cuentas del club podían descifrarse en cuestión de minutos usando fuerza bruta en GPU modernas. Los mensajes privados entre clubes y miembros a través de la aplicación PuffPal también han demostrado ser un riesgo potencial de fuga. En su opinión, esta práctica de "tirar a la calle las llaves de una bóveda entera" permite a cualquier atacante intencionado robar y revender en lotes estos datos de identidad altamente sensibles, causando daños impredecibles a las partes interesadas.
Después de la intervención de los medios, Nefos finalmente comenzó a tomar medidas concretas. Según los últimos resultados de las pruebas de Azdoufal del 10 de junio, la compañía anunció que cerrará temporalmente todo el sistema PuffPal y su API vulnerable. Las fotografías de pasaportes y los datos personales actualmente parecen haber sido protegidos y el mundo exterior ya no puede acceder directamente a ellos a través de métodos anteriores. La empresa afirmó que ha notificado la situación a las agencias reguladoras locales, reparará completamente el problema y asumirá la responsabilidad de las multas, y también explicará el incidente a los usuarios.
El cofundador de Nefos, Andreas Nilsen, dijo en una entrevista que la compañía se puso en contacto con la Comisión Irlandesa de Protección de Datos (DPC) sobre la violación de datos, lo que también fue confirmado por un portavoz de la DPC por correo electrónico. Nilsen dijo que "deben avisar a todas las personas potencialmente afectadas" y esperaba que la DPC brindara orientación sobre cómo las empresas pueden cumplir con esta obligación. También afirmó que actualmente no hay evidencia de que personas externas distintas de Azdoufal hayan accedido a los datos.
Sin embargo, a juzgar por el cronograma, la respuesta de Nefos a este grave riesgo obviamente se retrasó. Después de que Azdoufal se pusiera en contacto proactivamente con la empresa, Nefos no dio ninguna respuesta sustancial hasta cinco días después de que los medios indicaran que informaría del asunto. Durante este período, la empresa estuvo más "parcheando" para sellar las vulnerabilidades locales y evitar afectar las operaciones comerciales, en lugar de detener fundamentalmente los sistemas con riesgos de seguridad.
Lo que es aún más irónico es que a principios de junio de este año, cuando Azdoufal informó a los periodistas que la foto del pasaporte parecía haber sido bloqueada, el periodista descubrió inesperadamente que la propia imagen del pasaporte de Azdoufal era públicamente visible en línea nuevamente. La razón es que, aunque Nefos restringió temporalmente el acceso a las imágenes, no impidió inmediatamente que el club usara la aplicación PuffPal. Los clientes de este último se quejaron de que "la carga de imágenes no es tan cómoda como antes", lo que llevó a Nefos a relajar las restricciones de acceso nuevamente. Nilsen argumentó que las imágenes fueron bloqueadas aproximadamente "el 70 por ciento de las veces" durante sus conversaciones con los investigadores y los medios, pero resultó que la compañía claramente favoreció a estos últimos entre proteger la privacidad del usuario y mantener la experiencia del cliente.
El 9 de junio, Azdoufal descubrió que, aunque Nefos había añadido tokens de acceso para archivos como imágenes de pasaporte, otros datos en el perfil del usuario todavía estaban "dispersos". Un hacker solo necesita ingresar una solicitud como "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&language=en'" en la línea de comando para obtener un conjunto completo de información personal que incluye número de pasaporte, número de teléfono, dirección de correo electrónico y dirección particular. Después de que los investigadores y los medios lo recordaran nuevamente, Nefos bloqueó completamente esta interfaz.
Ante las dudas, Nilsen admitió que la responsabilidad final es de la empresa, pero también pasó parte de la culpa al equipo de subcontratación. Nombró a una empresa de subcontratación llamada 9Series, diciendo que era responsable del desarrollo de la aplicación PuffPal y las API relacionadas, y que fueron estas interfaces las que permitieron que una gran cantidad de datos desprotegidos se transfirieran directamente desde la base de datos de usuarios de Nefos a la red pública. Al cierre de esta edición, 9Series aún no ha respondido.
Ahora, con el cierre de PuffPal, Nefos está notificando a los clubes de cannabis por correo electrónico que sus miembros ya no podrán usar códigos QR para ingresar. Sin embargo, el club aún puede solicitar información de identidad relevante desde el servidor de Nefos para su verificación in situ escaneando la tarjeta RFID del miembro o ingresando el número de teléfono. Nilsen destacó que la compañía no relanzaría la insegura PuffPal sólo porque los clubes lo solicitaran, sino que planea lanzar una nueva aplicación en los próximos meses después de terminar su asociación con 9Series. Prometió que el nuevo sistema será auditado por investigadores de seguridad independientes y que se volverá a utilizar sólo después de que se confirme que es "100 por ciento seguro".
Según el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, las empresas deben informar una violación de datos a los reguladores dentro de las 72 horas posteriores a su ocurrencia o arriesgarse a fuertes multas. Nilsen también reconoció que la empresa no completó la divulgación dentro del plazo legal y por lo tanto "seguramente estará sujeta a algún tipo de sanción". El mes pasado, un sitio web llamado "Portal de Visas del Reino Unido" también atrajo la atención del público por exponer al menos 100.000 pasaportes y selfies a URL adivinables. A los conocedores de la industria les preocupa que se estén acumulando incidentes similares, exponiendo la negligencia y la miopía de cada vez más empresas en el manejo de información de identidad altamente sensible y, una vez más, haciendo sonar la alarma sobre la seguridad de los datos.