Al escribir algunas letras y números en mi navegador web, me encontré boquiabierto ante el documento de identidad de un extraño. Pasaporte de una joven de Alemania. Pasaporte de un hombre de España con gafas en la cabeza. El anverso y el reverso del permiso de conducir de otro hombre, su expresión facial estereotípicamente ridícula.
Todos están desprotegidos en URL públicas, sin contraseñas ni controles de acceso. Si te envío un enlace, es posible que veas el pasaporte de alguien.
“Tenemos que hacer algo lo más rápido posible, porque la gente lo encontrará y lo revenderá. Esto causará daños”, me dijo Sammy Azdoufal en mayo.
Azdoufal es un investigador de seguridad que utilizó Claude Code para ayudar a descubrir que cada robot aspirador DJI Romo y un millón de monitores para bebés y cámaras de seguridad son muy fáciles de piratear. Esta vez, dice que encontró más de 985.000 fotografías de identificación almacenadas en la Internet pública para que las robe cualquier hacker medianamente decente.
Si alguna vez has visitado un club de cannabis en España, dice Azdoufal, es probable que tu foto de identificación esté entre ellos, y tal vez tu número de teléfono, dirección, tu tipo de cannabis favorito y cuánto consumiste cada mes mientras estuviste allí. Azdoufal dijo que también había celebridades en la base de datos y que los visitantes eran de todo el mundo, incluidos 30.000 de Estados Unidos. “Tienen gente famosa”, dijo Azdoufal. “Personas que no quieren que todos sepan que fuman marihuana”.
Aquí hay un resumen aproximado de la base de usuarios que la herramienta automatizada de Azdoufal puede ver y los nombres de algunos clubes:
No es un club que no proteja esos documentos de identidad. Una empresa irlandesa llamada Cannabis Club Systems (CCS), oficialmente llamada Nefos Solutions, desarrolla y proporciona el software que estos clubes utilizan para ventas, contabilidad y admisiones, incluido un sistema de verificación en el que el recepcionista carga su identificación y su selfie en la nube de Nefos.
Por lo general, debes proporcionar una identificación con fotografía cada vez que quieras ingresar al club. Sin embargo, con un sistema de verificación, la recepcionista puede tomar sus documentos de identidad almacenados y comprobar si su rostro coincide. También hay una aplicación opcional llamada PuffPal que permite a los clubes escanear códigos QR para una entrada más rápida.
Sin embargo, cuando Azdoufal descompiló la aplicación PuffPal, explicó en su informedescubrió que Nefos carecía de un nivel significativo de seguridad. Encontró la clave secreta de la plataforma de pago de Stripe contenida en la aplicación en texto sin formato. Descubrió que podía ver el perfil de cualquier miembro con sólo cambiar un número. Si el perfil incluye un número de teléfono, domicilio, pasaporte y preferencias de marihuana, ahora también tiene acceso a esos perfiles.
Y luego, descubrió que esos pasaportes, licencias de conducir e identificaciones con fotografía estaban almacenados en una URL pública tan simple como esta: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
Los clubes suben 5.000 nuevas fotografías de identificación con estas URL inseguras cada día, me dijo Azdoufal.
También descubrió que se podía acceder a los portales de administración a través de la Internet pública y que los clubes de cannabis tenían bajos niveles de seguridad en sus cuentas, utilizando contraseñas que, en teoría, podían descifrarse en minutos con una GPU moderna. Los mensajes de chat privados entre clubes y miembros a través de la aplicación PuffPal también son vulnerables.
La buena noticia: aproximadamente un mes después de que contactáramos a Nefos, la compañía finalmente parece haber tomado medidas significativas. La compañía dijo que cerraría todo el sistema PuffPal y la API vulnerable hasta que pudiera solucionarse; en la prueba más reciente de Azdoufal el 10 de junio, las imágenes de pasaporte y los datos personales parecían estar seguros. Nefos también notificó a las autoridades locales y dijo que asumiría la responsabilidad de realizar reparaciones, pagar multas e informar a los usuarios lo sucedido.
En una entrevista telefónica, el cofundador de Nefos, Andreas Nilsen, dijo Borde que se había puesto en contacto con la Autoridad de Protección de Datos de Irlanda (DPC) con respecto a la violación de datos, un hecho que el portavoz de la DPC, Evan O’Leary, nos confirmó por correo electrónico. “Tenemos que comunicarnos con todos los que estuvieron potencialmente expuestos”, me dijo Nilsen, y dijo que espera que DPC pueda mostrarle a su empresa cómo hacerlo bien. Nilsen afirma que actualmente no hay pruebas de que ningún tercero distinto de Azdoufal haya accedido a los datos.
Pero Nefos tardó demasiado en tomarse en serio la amenaza. Pasaron cinco días y la amenaza de una historia antes de que la empresa nos respondiera, mucho después de que Azdoufal se pusiera en contacto con nosotros. Entonces, Nefos empezó a tapar el agujero en lugar de arriesgar su negocio.
Me preparé para escribir esta historia a principios de junio, después de que Azdoufal me dijera que Nefos finalmente había bloqueado las imágenes de pasaporte. Pero el 4 de junio sorprendí a Azdoufal mostrándole que su pasaporte estaba nuevamente en línea, sin ninguna protección.
Esto se debe a que Nefos no ha impedido que los clubes de cannabis usen la aplicación PuffPal, y los clubes se quejan de que las imágenes bloqueadas no se muestran como antes, por lo que Nefos simplemente está desbloqueando las imágenes nuevamente. Aunque Nilsen afirma que las imágenes estaban bloqueadas en un “70 por ciento” desde el momento en que Azdoufal y yo nos pusimos en contacto, está bastante claro que Nefos tomó la decisión de priorizar a sus clientes sobre las amenazas.
El 9 de junio, Azdoufal descubrió que, aunque Nefos había bloqueado imágenes de pasaportes y fotografías de identificación con fichas, todo lo demás en el perfil de usuario siguen siendo fácilmente accesibles: número de pasaporte, número de teléfono, dirección de correo electrónico, domicilio, todo.
Todo lo que el hacker tenía que hacer era escribir “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=(NUMBER)&(CLUB NAME)=test&lingual=en” en la línea de comando, y el servidor proporcionaría libremente una tonelada de información personal. Una vez que le dijimos esto a Nefos, ese agujero también se cerró.
Pero ¿cómo pueden las empresas ser tan descuidadas? “No quiero culpar a otras personas porque, en última instancia, es culpa nuestra”, dijo Nilsen. Pero sí le señaló con el dedo. en 9Seriesuna empresa de subcontratación que, según él, es responsable del desarrollo de la aplicación PuffPal y de la creación de todas las API vulnerables utilizadas para recuperar datos desprotegidos de la base de datos de usuarios de Nefos. (9Series no tuvo respuesta al momento de la publicación).
Ahora que PuffPal no funciona, Nefos envió un correo electrónico a cada club para informarles que sus miembros no pueden usar esos códigos QR para iniciar sesión, pero aún pueden recuperar identificaciones de los servidores de Nefos después de escanear la tarjeta RFID de un miembro o escribir su número de teléfono, entre otros ejemplos.
Nilsen afirma que su empresa no relanzaría PuffPal sin una garantía si el club se lo pidiera. “Les diremos que no podemos hacerlo”, dijo. “Nos aseguraremos, después de este desastre, de que esto sea verificado por investigadores de seguridad independientes y garantice que es 100 por ciento seguro”. Dijo que Nefos se está separando de 9Series y espera tener una nueva aplicación en unos meses.
Nilsen dijo que estaba consciente de ello. según la legislación de la UEsu empresa tenía legalmente que revelar la infracción dentro de las 72 horas o pagar una multa significativa, algo que la empresa no hizo. “Estoy seguro de que recibiremos cualquier castigo disponible”, dijo Nilsen.
El mes pasado, un sitio web llamado UK Visa Portal juntos expusieron al menos 100.000 pasaportes a cualquiera que pueda adivinar la URL. Ojalá esto sea una advertencia.
