Миллион паспортов утекли в интернет: хаос в системе испанских клубов

Исследователь безопасности Самми Азду́фал, работавший над проблемами безопасности DJI Рома и детских мониторов, обнаружил одну из крупнейших утечек персональных данных. Компания Cannabis Club Systems (CCS), ирландская фирма, разработала ПО для управления испанскими клубами конопли, система обработки продаж, учёта и проверки входа (верификация удостоверений личности через загрузку паспортов и селфи на облако Nefos).

Азду́фал взломал опциональное приложение PuffPal, которое клубы используют для быстрого входа по QR-коду, и обнаружил критические уязвимости: секретный ключ Stripe в открытом виде в коде приложения, API, позволяющий читать профили членов простой подменой одного номера, и главное, паспорта хранились по полностью открытым URL вида https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg, без какой-либо защиты.

Всего утекло почти 985 000 документов. В базе оказались посетители клубов по всему миру, включая 30 000 американцев, знаменитости (люди, скрывающие своё посещение клубов), а также полные профили с номерами паспортов, телефонами, адресами, любимыми сортами и объёмами потребления. Клубы загружали примерно 5 000 новых удостоверений ежедневно.

После контакта Азду́фала компания Nefos начала реагировать медленно (пять дней молчания). Первый шаг, блокировка изображений паспортов, но потом на жалобы клубов о неисправности система была разблокирована снова. 4 июня Азду́фал обнаружил собственный паспорт вновь выложенным без защиты.

Вторая волна: даже когда изображения были защищены токенами, остальные данные профиля (номера паспортов, телефоны, адреса) оставались доступны через простой POST-запрос без авторизации.

CCS признала ответственность, закрыла PuffPal, связалась с ирландским отделением Data Protection Commission (DPC). Основатель Andreas Nilsen указал на аутсорсинговую фирму 9Series, разработавшую уязвимое приложение и API. Nilsen также признал нарушение законодательства ЕС: по GDPR компания обязана была сообщить об утечке в течение 72 часов, этого не произошло, и штрафы неизбежны. Компания пообещала восстановить систему с помощью независимого аудитора безопасности.

Ключевые факты

Почти миллион паспортов и удостоверений личности испанских клубов конопли хранились по открытым URL без пароля и контроля доступа
Ирландская компания Cannabis Club Systems (CCS, ранее Nefos Solutions) разработала ПО для клубов; разработчик PuffPal-приложения (9Series) внедрил критические уязвимости: открытый ключ Stripe, взлом профилей по номерам, хранение на публичных URL
Утечка включает полные профили (паспорта, селфи, телефоны, адреса, предпочтения потребления) 985 000+ человек, в том числе знаменитостей и 30 000 американцев
CCS медленно реагировала на предупреждение (пять дней), частично блокировала, потом вновь открыла, чтобы клубы могли продолжить работу, нарушив требования GDPR о 72-часовом уведомлении
Компания закрыла PuffPal, обещает переразработку с независимым аудитом; штрафы и юридические последствия неизбежны

Ред. Паспорта и селфи лежали по URL вида {user_id}-front.jpg, то есть защита была ровно на уровне «а вдруг никто не угадает плюс один». Систему верификации личности написали так, что она утекла личности целиком. Клубы исправно подгружали по 5000 новых документов в день, не зная, что грузят их в открытый интернет.

Почему это важно

Это одна из крупнейших утечек документов личной идентификации: миллион паспортов, селфи, адресов и телефонных номеров. Данные могут быть использованы для кражи личности, преследования, вымогательства (особенно знаменитостей и политических фигур, боящихся разглашения). Утечка также демонстрирует классическую ошибку: компания CCS неделю не реагировала на сообщение от исследователя, а потом «заклеивала дыры» для сохранения бизнеса вместо полного закрытия уязвимостей.

Кому это важно

Клиентам испанских клубов конопли (посетители из 30+ стран). Регуляторам ЕС: GDPR требует уведомления в 72 часа, а CCS нарушила этот срок. Разработчикам ПО и фирмам, работающим с облачным хранилищем чувствительных документов. Исследователям безопасности: случай демонстрирует, что даже после обнаружения уязвимости компания может отодвинуть исправление в пользу бизнеса.

Как это применить

Для инженеров: никогда не храните персональные документы по предсказуемым публичным URL, используйте защищённый объектный накопитель, требуйте аутентификацию, подписывайте URL токенами с экспирацией. Для управления: апдейт API и приложений должны быть тщательно протестированы; при обнаружении уязвимости отключайте систему полностью, а не пытайтесь «залатать» на лету. Для организаций, использующих чужой код: проводите аудит безопасности аутсорсов перед развёртыванием на продакшене.

Можно ли доверять

История от The Verge со ссылками на исследователя Азду́фала и подтверждением Data Protection Commission ирландского отделения. Основатель Nefos Nilsen подтвердил контакт с DPC. Фирма 9Series не ответила на запрос комментария. Исследователь задокументировал уязвимости пошагово (попытка блокировки, разблокировка, вторая волна данных). Источник надёжен, фактура проверена через официальные каналы.

Риски и подводные камни

Главный риск, задержка исправления. CCS сначала блокировала, потом открывала, потом блокировала снова в зависимости от жалоб клубов. Неясно, были ли данные скачаны преступниками раньше обнаружения (Nilsen говорит, что доказательств нет, но это заявление компании, заинтересованной в минимизации урона). EU GDPR требует проверки логов доступа, но компания может их не вести. Реальный риск для пользователей, их данные в тёмной сети или перепроданы мошенниками; требуется личная проверка дополнительной активности и паспортных рисков.

«Нам нужно что-то с этим сделать как можно скорее, потому что люди это найдут и перепродадут. Это нанесёт ущерб.»

— Самми Азду́фал, исследователь безопасности