Um investigador de segurança descobriu recentemente que quase 985.000 passaportes, cartas de condução e outros documentos de identificação com fotografia e informações pessoais relacionadas foram expostos na Internet pública com quase zero proteção por uma empresa que fornece serviços de software para clubes espanhóis de cannabis. Qualquer hacker com habilidades técnicas médias pode obtê-los facilmente. Este lote de dados envolve usuários de todo o mundo, incluindo cerca de 30.000 visitantes dos EUA, bem como algumas celebridades. As suas informações de identidade, selfies pessoais, informações de contacto, hábitos de consumo e outras informações privadas registadas em clubes de canábis em Espanha e noutros locais podem ter sido expostas discretamente.
A falha crítica foi descoberta pelo investigador de segurança Sammy Azdoufal, que já revelou graves falhas de segurança em vários varredores, monitores de bebés e câmaras de segurança. Ele disse que, através de uma simples varredura de script, descobriu mais de 985 mil fotos de identificação na Internet, a grande maioria das quais veio do sistema de registro de membros de clubes de cannabis da Espanha. Esses arquivos são armazenados em URLs públicos extremamente simples e previsíveis, sem senhas ou controles de acesso, permitindo que a imagem de identificação de qualquer usuário seja visualizada, desde que o formato do link seja conhecido.
Os próprios clubes de cannabis não operam diretamente os sistemas relevantes, mas utilizam software e serviços em nuvem fornecidos por uma empresa irlandesa chamada Cannabis Club Systems (CCS), anteriormente conhecida como Nefos Solutions. O CCS fornece sistemas de vendas, finanças e verificação de admissão para clubes: a equipe da recepção fará upload do passaporte ou das fotos de identidade e selfies dos usuários para a nuvem Nefos para verificação rápida de identidade no futuro. No modelo tradicional, os associados precisam apresentar identidades físicas sempre que entram na loja, mas esse sistema permite que a equipe acesse dados na nuvem para comparação. Alguns clubes também usam um aplicativo móvel chamado PuffPal para acelerar o processo de admissão, digitalizando códigos QR.
No entanto, quando Azdoufal descompilou e analisou a aplicação PuffPal, descobriu que o design geral de segurança do Nefos era quase inútil. Não apenas a chave da plataforma de pagamento Stripe está incorporada em texto não criptografado no aplicativo, mas a interface do perfil do usuário só precisa modificar um único número para acessar o perfil completo de diferentes membros, que pode incluir dados confidenciais, como números de telefone, endereços residenciais, informações de passaporte e preferências pessoais de consumo de cannabis. O que é mais sério é que o sistema salva fotos de identificação em um endereço público como "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg" sem qualquer token ou verificação de permissão, e os clubes ainda enviam cerca de 5.000 novas fotos de identificação dessa forma todos os dias.
Azdoufal também descobriu que um back-end de gerenciamento voltado para o clube também foi exposto na rede pública e que as senhas fracas usadas nas contas do clube poderiam ser quebradas em minutos usando força bruta em GPUs modernas. Mensagens privadas entre clubes e membros por meio do aplicativo PuffPal também provaram ser um risco potencial de vazamento. Na sua opinião, esta prática de “jogar na rua as chaves inteiras de um cofre” permite que qualquer invasor intencional roube e revenda estes dados de identidade altamente sensíveis em lotes, causando danos imprevisíveis às partes envolvidas.
Após a intervenção da mídia, a Nefos finalmente começou a tomar medidas concretas. De acordo com os últimos resultados dos testes de Azdoufal em 10 de junho, a empresa anunciou que encerrará temporariamente todo o sistema PuffPal e sua API vulnerável. Atualmente, as fotos dos passaportes e os dados pessoais parecem ter sido protegidos e não podem mais ser acessados diretamente pelo mundo exterior através dos métodos anteriores. A empresa afirmou que notificou os órgãos reguladores locais sobre a situação, irá reparar integralmente o problema e arcar com a responsabilidade pelas multas, além de explicar o ocorrido aos usuários.
O cofundador da Nefos, Andreas Nilsen, disse em uma entrevista que a empresa entrou em contato com a Comissão Irlandesa de Proteção de Dados (DPC) sobre a violação de dados, que também foi confirmada por um porta-voz da DPC por e-mail. Nilsen disse que “devem notificar todas as pessoas potencialmente afetadas” e espera que a DPC forneça orientações sobre como as empresas podem cumprir esta obrigação. Ele também afirmou que não há atualmente nenhuma evidência de que outras pessoas além de Azdoufal tenham acessado os dados.
No entanto, a julgar pelo cronograma, a resposta da Nefos a este grave risco foi obviamente atrasada. Depois de Azdoufal ter contactado proactivamente a empresa, a Nefos não deu qualquer resposta substancial até cinco dias depois de os meios de comunicação terem indicado que iriam reportar o assunto. Durante este período, a empresa estava mais “aplicando patches” para selar vulnerabilidades locais para evitar afetar as operações comerciais, em vez de parar fundamentalmente sistemas com riscos de segurança.
O que é ainda mais irónico é que no início de Junho deste ano, quando Azdoufal informou aos jornalistas que a fotografia do passaporte parecia ter sido bloqueada, o repórter descobriu inesperadamente que a imagem do próprio passaporte de Azdoufal estava novamente visível publicamente online. A razão é que, embora o Nefos tenha restringido temporariamente o acesso às imagens, ele não impediu imediatamente o clube de usar o aplicativo PuffPal. Os clientes deste último reclamaram que “o carregamento de imagens não é tão conveniente como antes”, o que levou a Nefos a relaxar novamente as restrições de acesso. Nilsen argumentou que as imagens foram bloqueadas cerca de “70% das vezes” durante as suas conversas com investigadores e meios de comunicação, mas descobriu-se que a empresa favorecia claramente esta última entre proteger a privacidade do utilizador e manter a experiência do cliente.
Em 9 de junho, Azdoufal descobriu que, embora Nefos tivesse adicionado tokens de acesso para arquivos como imagens de passaporte, outros dados no perfil do usuário ainda estavam “streaking”. Um hacker só precisa inserir uma solicitação como "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&language=en'" na linha de comando para obter um conjunto completo de informações pessoais, incluindo número de passaporte, número de telefone, endereço de e-mail e endereço residencial. Depois de ser lembrado novamente pelos pesquisadores e pela mídia, Nefos bloqueou completamente esta interface.
Diante das dúvidas, Nilsen admitiu que a responsabilidade final é da empresa, mas também passou parte da culpa para a equipe de terceirização. Ele nomeou uma empresa de terceirização chamada 9Series, dizendo que ela era responsável pelo desenvolvimento do aplicativo PuffPal e APIs relacionadas, e foram essas interfaces que permitiram que uma grande quantidade de dados desprotegidos fossem transferidos diretamente do banco de dados de usuários do Nefos para a rede pública. Até o momento desta publicação, a 9Series ainda não respondeu.
Agora, com o encerramento do PuffPal, Nefos está notificando os clubes de cannabis por e-mail que seus membros não poderão mais usar códigos QR para entrar. No entanto, o clube ainda pode solicitar informações de identidade relevantes do servidor Nefos para verificação no local, digitalizando o cartão RFID do membro ou inserindo o número de telefone. Nilsen ressaltou que a empresa não relançaria o inseguro PuffPal só porque os clubes solicitaram, mas planeja lançar um novo aplicativo nos próximos meses após encerrar a parceria com a 9Series. Ele prometeu que o novo sistema será auditado por pesquisadores de segurança independentes e só será colocado em uso novamente depois de ser confirmado como “100% seguro”.
De acordo com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, as empresas devem relatar uma violação de dados aos reguladores dentro de 72 horas após sua ocorrência ou correm o risco de multas pesadas. Nilsen reconheceu ainda que a empresa não concluiu a divulgação no prazo legal e, portanto, “certamente estará sujeita a algum tipo de penalização”. No mês passado, um site chamado “Portal de Vistos do Reino Unido” também atraiu a atenção do público por expor pelo menos 100 mil passaportes e selfies a URLs adivinháveis. Os membros da indústria estão preocupados com a acumulação de incidentes semelhantes, expondo a negligência e a miopia de cada vez mais empresas no tratamento de informações de identidade altamente sensíveis e, mais uma vez, soando o alarme sobre a segurança dos dados.