Digitando algumas letras e números em meu navegador, me vi boquiaberto diante do documento de identidade de um estranho. Passaporte de uma jovem da Alemanha. Passaporte de um homem espanhol com óculos na cabeça. A frente e o verso da carteira de motorista de outro homem, sua expressão facial estereotipada e ridícula.
Todos estão desprotegidos em URLs públicos, sem senhas ou quaisquer controles de acesso. Se eu lhe enviar um link, você poderá ver o passaporte de alguém.
“Temos que fazer algo o mais rápido possível, porque as pessoas vão encontrá-lo e revendê-lo. Isso causará danos”, disse-me Sammy Azdoufal em maio.
Azdoufal é um pesquisador de segurança que usou o Claude Code para ajudar a descobrir que todo aspirador de pó robô DJI Romo e um milhão de babás eletrônicas e câmeras de segurança são muito fáceis de hackear. Desta vez, ele diz que encontrou mais de 985 mil fotos de identidade armazenadas na Internet pública para qualquer hacker decente roubar.
Se você já visitou um clube de cannabis na Espanha, diz Azdoufal, é provável que sua foto de identificação esteja entre eles – e talvez seu número de telefone, endereço, seu tipo favorito de cannabis e quanto você consumiu por mês enquanto esteve lá. Azdoufal disse que celebridades também estavam no banco de dados e que os visitantes eram de todo o mundo, incluindo 30 mil dos Estados Unidos. “Eles têm pessoas famosas”, disse Azdoufal. “Pessoas que não querem que todos saibam que fumam maconha.”
Aqui está um resumo da base de usuários que a ferramenta automatizada de Azdoufal pode visualizar e os nomes de alguns clubes:
Não é um clube que não proteja esses documentos de identidade. Uma empresa irlandesa chamada Cannabis Club Systems (CCS), oficialmente chamada Nefos Solutions, desenvolve e fornece o software que estes clubes utilizam para vendas, contabilidade e admissões, incluindo um sistema de verificação onde a recepcionista carrega a sua identificação e selfie para a nuvem Nefos.
Normalmente, você deve fornecer um documento de identidade com foto toda vez que quiser entrar no clube. Porém, com um sistema de verificação, a recepcionista pode pegar seus documentos de identidade armazenados e verificar se seu rosto corresponde. Há também um aplicativo opcional chamado PuffPal que permite aos clubes digitalizar códigos QR para uma entrada mais rápida.
Entretanto quando Azdoufal descompilou o aplicativo PuffPal ele explicou em seu relatórioele descobriu que Nefos não tinha nenhum nível significativo de segurança. Ele encontrou a chave secreta da plataforma de pagamento do Stripe contida no aplicativo em texto simples. Ele descobriu que poderia ver o perfil de qualquer membro apenas alterando um número. Se o perfil incluir número de telefone, endereço residencial, passaporte e preferências sobre maconha, ele agora também terá acesso a esses perfis.
E então, ele descobriu que esses passaportes, carteiras de motorista e documentos de identidade com foto estavam armazenados em uma URL pública tão simples quanto esta: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
Os clubes carregam 5.000 novas fotos de identificação com esses URLs inseguros todos os dias, disse-me Azdoufal.
Ele também descobriu que os portais administrativos eram acessíveis pela Internet pública – e que os clubes de cannabis tinham baixos níveis de segurança em suas contas, usando senhas que teoricamente poderiam ser quebradas em minutos com uma GPU moderna. Mensagens privadas de bate-papo entre clubes e membros por meio do aplicativo PuffPal também são vulneráveis.
A boa notícia: cerca de um mês depois de contactarmos a Nefos, a empresa parece ter finalmente tomado medidas significativas. A empresa disse que desligaria todo o sistema PuffPal e a API vulnerável até que pudesse ser consertada – no teste mais recente de Azdoufal, em 10 de junho, imagens de passaporte e dados pessoais pareciam estar seguros. A Nefos também notificou as autoridades locais e disse que se responsabilizaria por fazer reparos, pagar multas e informar aos usuários o ocorrido.
Em entrevista por telefone, o cofundador da Nefos, Andreas Nilsen, disse Borda que ele havia contatado a Autoridade de Proteção de Dados (DPC) da Irlanda sobre a violação de dados – um fato que o porta-voz da DPC, Evan O’Leary, nos confirmou por e-mail. “Temos que nos comunicar com todos que foram potencialmente expostos”, disse-me Nilsen, dizendo que espera que a DPC possa mostrar à sua empresa como fazer isso da maneira certa. Nilsen afirma que actualmente não há provas de que qualquer outra parte externa que não seja Azdoufal tenha acedido aos dados.
Mas demorou muito para que Nefos levasse a ameaça a sério. Demorou cinco dias e a ameaça de uma história antes que a empresa nos respondesse, muito depois de Azdoufal nos contactar. Então, a Nefos começou a tapar o buraco em vez de arriscar o seu negócio.
Preparei-me para escrever esta história no início de junho, depois de Azdoufal me ter dito que Nefos tinha finalmente bloqueado as imagens do passaporte. Mas no dia 4 de junho, surpreendi Azdoufal ao mostrar-lhe que o seu passaporte estava novamente online, sem qualquer proteção.
Isso ocorre porque a Nefos não impediu os clubes de cannabis de usar o aplicativo PuffPal, e os clubes estão reclamando que as imagens bloqueadas não estão aparecendo como antes – então a Nefos está simplesmente desbloqueando as imagens novamente. Embora Nilsen afirme que as imagens estavam “70%” bloqueadas desde o momento em que Azdoufal e eu entramos em contato, está bastante claro que a Nefos tomou a decisão de priorizar seus clientes em detrimento das ameaças.
Em 9 de junho Azdoufal descobriu que embora Nefos tivesse bloqueado imagens de passaporte e fotos de identidade com tokens todo o resto no perfil do usuário ainda são facilmente acessíveis: número do passaporte, telefone, endereço de e-mail, endereço residencial, tudo.
Tudo o que o hacker precisou fazer foi digitar “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=(NUMBER)&(CLUB NAME)=test&lingual=en” na linha de comando, e o servidor forneceria gratuitamente uma tonelada de informações pessoais. Depois que contamos isso ao Nefos, esse buraco também foi fechado.
Mas como as empresas poderiam ser tão descuidadas? “Não quero culpar outras pessoas porque, em última análise, a culpa é nossa”, disse Nilsen. Mas ele apontou o dedo para ele na série 9uma empresa de terceirização que ele afirma ser responsável pelo desenvolvimento do aplicativo PuffPal e pela criação de todas as APIs vulneráveis usadas para recuperar dados desprotegidos do banco de dados de usuários Nefos. (9Series não teve resposta até o momento da publicação.)
Agora que o PuffPal está fora do ar, a Nefos enviou um e-mail a cada clube para informá-los de que seus membros não podem usar esses códigos QR para fazer login – mas ainda podem recuperar IDs dos servidores da Nefos após digitalizar o cartão RFID de um membro ou digitar seu número de telefone, entre outros exemplos.
Nilsen afirma que sua empresa não relançaria o PuffPal sem garantia se o clube pedisse. “Diremos a eles que não podemos fazer isso”, disse ele. “Garantiremos, após este desastre, que isso seja verificado por pesquisadores de segurança independentes e garantamos que seja 100% seguro.” Ele disse que a Nefos está se separando do 9Series e espera ter um novo aplicativo em alguns meses.
Nilsen disse que estava ciente disso ao abrigo da legislação da UEsua empresa teve que divulgar legalmente a violação dentro de 72 horas ou pagar uma multa significativa, algo que a empresa não fez. “Estou confiante de que receberemos qualquer punição disponível”, disse Nilsen.
No mês passado, um site chamado UK Visa Portal juntos expuseram pelo menos 100 mil passaportes para qualquer um que consiga adivinhar o URL. Esperançosamente, isso é um aviso.
