Исследователь безопасности недавно обнаружил, что около 985 000 паспортов, водительских прав и других удостоверений личности с фотографией, а также связанная с ними личная информация были выложены в общедоступном Интернете с почти нулевой защитой со стороны компании, которая предоставляет программные услуги для испанских клубов каннабиса. Любой хакер со средними техническими навыками может легко получить их. В этом пакете данных участвуют пользователи со всего мира, в том числе около 30 000 посетителей из США, а также некоторые знаменитости. Их идентификационная информация, личные селфи, контактная информация, привычки потребления и другая личная информация, зарегистрированная в каннабис-клубах в Испании и других местах, могла быть тайно раскрыта.
Критическая уязвимость была обнаружена исследователем безопасности Сэмми Аздуфалом, который ранее выявил серьезные недостатки безопасности в нескольких подметальных машинах, радионянях и камерах наблюдения. Он сказал, что с помощью простого сканирования сценария он обнаружил в Интернете более 985 000 фотографий, удостоверяющих личность, подавляющее большинство из которых поступило из системы регистрации членов испанского клуба каннабиса. Эти файлы хранятся по чрезвычайно простым, предсказуемым общедоступным URL-адресам без каких-либо паролей или контроля доступа, что позволяет просматривать изображение удостоверения личности любого пользователя, если известен формат ссылки.
Сами клубы каннабиса не управляют соответствующими системами напрямую, а вместо этого используют программное обеспечение и облачные сервисы, предоставляемые ирландской компанией Cannabis Club Systems (CCS), ранее известной как Nefos Solutions. CCS предоставляет клубам системы проверки продаж, финансов и допуска: сотрудники стойки регистрации будут загружать фотографии паспортов или удостоверений личности, а также селфи пользователей в облако Nefos для быстрой проверки личности в будущем. В традиционной модели участники должны предъявлять физические удостоверения личности каждый раз, когда они входят в магазин, но эта система позволяет сотрудникам вызывать облачные данные для сравнения. Некоторые клубы также используют мобильное приложение PuffPal, чтобы ускорить процесс приема путем сканирования QR-кодов.
Однако когда Аздуфал декомпилировал и проанализировал приложение PuffPal, он обнаружил, что общая система безопасности Nefos практически бесполезна. Мало того, что ключ к платежной платформе Stripe встроен в виде открытого текста в приложение, в интерфейсе профиля пользователя необходимо изменить только один номер, чтобы получить доступ к полному профилю различных участников, который может включать конфиденциальные данные, такие как номера телефонов, домашние адреса, паспортные данные и личные предпочтения в потреблении каннабиса. Что еще более серьезно, система сохраняет фотографии для удостоверений личности по общедоступному адресу, например «https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg» без каких-либо токенов или проверки разрешения, и клубы по-прежнему загружают таким образом около 5000 новых фотографий для удостоверений личности каждый день.
Аздуфаль также обнаружил, что серверная часть управления клубом также была раскрыта в общедоступной сети и что слабые пароли, используемые для клубных учетных записей, можно взломать за считанные минуты, используя грубую силу на современных графических процессорах. Частные сообщения между клубами и членами через приложение PuffPal также оказались потенциальным риском утечки информации. По его мнению, такая практика «выбрасывания ключей от целого хранилища на улицу» позволяет любому намеренному злоумышленнику украсть и перепродать эти весьма конфиденциальные идентификационные данные партиями, нанося непредсказуемый ущерб заинтересованным сторонам.
После вмешательства СМИ Нефос наконец начал предпринимать конкретные действия. Согласно результатам последних испытаний Azdoufal от 10 июня, компания объявила, что временно отключит всю систему PuffPal и ее уязвимый API. Паспортные фотографии и персональные данные в настоящее время, судя по всему, защищены и больше не могут быть доступны внешнему миру с помощью прежних методов. Компания заявила, что уведомила местные контролирующие органы о ситуации, полностью устранит проблему и понесет ответственность за штрафы, а также объяснит инцидент пользователям.
Соучредитель Nefos Андреас Нильсен заявил в интервью, что компания связалась с Ирландской комиссией по защите данных (DPC) по поводу утечки данных, что также подтвердил представитель DPC по электронной почте. Нильсен сказал, что они «должны уведомить всех потенциально затронутых лиц» и выразил надежду, что DPC предоставит рекомендации о том, как компании могут выполнить это обязательство. Он также заявил, что в настоящее время нет никаких доказательств того, что посторонние лица, кроме Аздуфала, имели доступ к данным.
Однако, судя по срокам, реакция «Нефоса» на этот серьезный риск явно затянулась. После того как Аздуфал активно связался с компанией, Нефос не дал существенного ответа в течение пяти дней после того, как СМИ сообщили, что сообщат об этом. В этот период компания больше занималась «исправлением» локальных уязвимостей, чтобы избежать влияния на бизнес-операции, а не фундаментальной остановкой систем с угрозами безопасности.
Еще более иронично то, что в начале июня этого года, когда Аздуфал сообщил журналистам, что фотография в паспорте, похоже, была заблокирована, репортер неожиданно обнаружил, что изображение паспорта Аздуфаля снова стало публично доступным в Интернете. Причина в том, что, хотя Nefos временно ограничил доступ к изображениям, это не помешало клубу сразу использовать приложение PuffPal. Клиенты последнего жаловались, что «загрузка изображений стала не такой удобной, как раньше», что побудило Nefos вновь ослабить ограничения доступа. Нильсен утверждал, что изображения блокировались примерно в «70 процентах случаев» во время разговоров с исследователями и средствами массовой информации, но оказалось, что компания явно отдавала предпочтение последнему, предпочитая защиту конфиденциальности пользователей и сохранение качества обслуживания клиентов.
9 июня Аздуфаль обнаружил, что, хотя Nefos добавил токены доступа к таким файлам, как изображения паспортов, другие данные в профиле пользователя все еще были «полосами». Хакеру достаточно ввести запрос типа «curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&language=en'» в командной строке, чтобы получить полный набор личной информации, включая номер паспорта, номер телефона, адрес электронной почты и домашний адрес. После повторного напоминания со стороны исследователей и СМИ Нефос полностью заблокировал этот интерфейс.
Несмотря на сомнения, Нильсен признал, что основная ответственность лежит на компании, но также переложил часть вины на команду аутсорсинга. Он назвал аутсорсинговую компанию 9Series, заявив, что она отвечает за разработку приложения PuffPal и связанных с ним API, и именно эти интерфейсы позволяют передавать большой объем незащищенных данных непосредственно из базы данных пользователей Nefos в общедоступную сеть. На момент публикации 9Series еще не ответила.
Теперь, когда PuffPal закрыт, Nefos уведомляет клубы каннабиса по электронной почте о том, что их члены больше не смогут использовать QR-коды для входа. Тем не менее, клуб по-прежнему может запросить соответствующую идентификационную информацию с сервера Nefos для проверки на месте, отсканировав RFID-карту члена или введя номер телефона. Нильсен подчеркнул, что компания не будет перезапускать небезопасный PuffPal только потому, что об этом просили клубы, но планирует запустить новое приложение в ближайшие месяцы после прекращения партнерства с 9Series. Он пообещал, что новая система будет проверена независимыми исследователями безопасности и будет снова введена в эксплуатацию только после того, как будет подтверждено, что она «на 100 процентов безопасна».
В соответствии с Общим регламентом защиты данных Европейского Союза (GDPR), компании должны сообщать регулирующим органам об утечке данных в течение 72 часов с момента ее возникновения, иначе они рискуют получить крупные штрафы. Нильсен также признал, что компания не завершила раскрытие информации в установленные законом сроки и поэтому «несомненно будет подвергнута той или иной форме штрафа». Буквально в прошлом месяце веб-сайт под названием «Визовый портал Великобритании» также привлек внимание общественности тем, что разместил по меньшей мере 100 000 паспортов и селфи по угадываемым URL-адресам. Инсайдеры отрасли обеспокоены тем, что подобные инциденты накапливаются, разоблачая небрежность и недальновидность все большего числа компаний в обращении с высококонфиденциальной идентификационной информацией, и вновь бьют тревогу по поводу безопасности данных.