在網頁瀏覽器中輸入一些字母和數字,我發現自己正在查看完全陌生的身份證件。來自德國的年輕女子的護照。一名頭戴眼鏡的西班牙男子的護照。另一個男人駕照的正反面,臉上帶著典型的愚蠢表情。
它們都不受保護地位於公共 URL 上,沒有任何密碼或存取控制。如果我給你發了一個鏈接,你就可以查看某人的護照。
「我們必須盡快採取措施,因為人們會找到它並轉售它。這會造成損害,」薩米·阿茲杜法爾 (Sammy Azdoufal) 五月告訴我。
Azdoufal 是一位安全研究員,他使用 Claude Code 發現每台 DJI Romo 機器人吸塵器以及 100 萬台嬰兒監視器和安全攝影機都非常容易被駭客入侵。這一次,他說他在公共網路上發現了超過 985,000 個帶照片的身份證件,任何半心半意的駭客都可以竊取。
阿茲杜法爾說,如果你去過西班牙的大麻俱樂部,其中很可能有你帶照片的身份證件——可能還有你的電話號碼、地址、你最喜歡的大麻品種以及你在那裡時每月消耗的大麻量。阿茲杜法爾說,名人以及來自世界各地的遊客也都在資料庫中,其中包括來自美國的 3 萬名遊客。 「他們有名人,」阿茲杜法爾說。 “那些不想讓每個人都知道他們吸大麻的人。”
以下是 Azdoufal 的自動化工具能夠看到的用戶群以及一些俱樂部名稱的粗略摘要:
圖:薩米·阿茲杜法爾
並不是俱樂部沒有保護這些身分證件。一家名為 Cannabis Club Systems (CCS) 的愛爾蘭公司(原名 Nefos Solutions)開發並提供這些俱樂部用於銷售、會計和開票的軟體,包括一個驗證系統,接待員可以將您的身分證件和自拍照上傳到 Nefos 雲端。
傳統上,每次您想進入俱樂部時都必須提供帶照片的身份證件。但透過驗證系統,接待員可以調出您保存的身份證件並檢查您的臉部是否匹配。還有一個名為 PuffPal 的可選應用程序,允許俱樂部掃描二維碼以更快地進入。
但當 Azdoufal 反編譯 PuffPal 應用程式時,他在報告中解釋道,他發現 Nefos 缺乏任何有意義的安全等級。以純文字形式發現位於應用程式內部的 Stripe 支付平台金鑰。他發現只需更改號碼即可上傳任何會員的個人資料。如果這些個人資料包括他們的電話號碼、家庭住址、護照和偏好,那麼他也可以存取這些內容。
然後他發現這些護照、駕照和帶照片的身份證件儲存在公共 URL 上,就像這樣簡單:https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
阿茲杜法爾告訴我,這些俱樂部每天都會上傳 5,000 個帶有不安全 URL 的新照片 ID。
他還發現了一個可以透過公共網路存取的管理門戶,而且大麻俱樂部的帳戶安全等級很低,使用的密碼理論上可以用現代 GPU 在幾分鐘內破解。俱樂部和會員之間透過 PuffPal 應用程式發送的私人聊天訊息也容易受到攻擊。
好消息:在我們聯繫 Nefos 大約一個月後,該公司似乎終於採取了有意義的行動。該公司表示,將關閉整個 PuffPal 系統和易受攻擊的 API,直到修補完畢為止。在 Azdoufal 6 月 10 日的最新測試中,護照影像和個人資料似乎是安全的。 Nefos 也通知了地方當局,並表示將承擔責任進行糾正、支付罰款並告知用戶發生的情況。
Nefos 聯合創始人安德烈亞斯·尼爾森 (Andreas Nilsen) 在電話採訪中表示 邊緣 他們正在與愛爾蘭資料保護局 (DPC) 就資料外洩事件進行聯繫——DPC 發言人 Evan O’Leary 透過電子郵件向我們證實了這一事實。尼爾森告訴我:「我們需要聯繫所有可能受到感染的人。」他希望 DPC 能夠向他的公司展示如何正確行事。尼爾森聲稱,目前沒有證據表明除阿茲杜法爾之外有任何外部用戶訪問過這些數據。
但 Nefos 花了很長時間才認真對待這一威脅。在阿茲杜法爾與我們聯繫很久之後,該公司花了五天的時間和報道的威脅才做出回應。 Nefos 隨後開始繪製漏洞圖,而不是拿業務冒險。
六月初,阿茲杜法爾告訴我 Nefos 終於鎖定了護照圖像後,我準備寫這個故事。但 6 月 4 日,我讓阿茲杜法爾驚訝地發現,他自己的護照又回到了網路上,沒有任何保護。
這是因為 Nefos 尚未阻止大麻俱樂部使用 PuffPal 應用程序,而且俱樂部抱怨鎖定的圖像沒有像以前那樣顯示,因此 Nefos 只是再次解鎖了圖像。雖然 Nilsen 聲稱自從我們與 Azdoufal 聯繫以來,這些圖像「70%」已被鎖定,但很明顯 Nefos 決定優先考慮客戶而不是威脅。
6 月 9 日,Azdoufal 發現,儘管 Nefos 鎖定了護照圖像和帶有品牌照片的身份證件, 其他一切 在用戶個人資料上,它仍然很容易訪問:護照號碼、電話號碼、電子郵件地址、家庭住址,一切。
駭客只需在命令列中輸入“curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=(NUMBER)&(CLUB NAME)=test&language=en”,伺服器就會隨意洩露一堆個人資訊。之後我們也關注了這個Nefo。
但公司怎麼能這麼粗心呢? 「我不想把責任歸咎於別人,因為歸根結底,責任還是在我們身上,」尼爾森說。然而,它將矛頭指向了 9Series,這是一家外包公司,聲稱負責開發 PuffPal 應用程式並創建所有易受攻擊的 API,用於從 Nefos 用戶資料庫中提取不受保護的資料。 (截至發稿時,Series 9 尚未回應。)
既然 PuffPal 癱瘓了,Nefos 正在向每個俱樂部發送電子郵件,讓他們知道他們的會員將無法使用這些二維碼進入,但他們仍然可以在掃描會員的 RFID 卡或輸入電話號碼等後從 Nefos 的伺服器檢索 ID。
尼爾森聲稱,如果俱樂部要求的話,他的公司不會只是重新推出無擔保的 PuffPal。 「我們會告訴他們我們不能,」他說。 「在這場災難之後,我們將確保這一點得到獨立安全研究人員的驗證,並保證 100% 安全。」他表示 Nefos 正在與 9Series 分道揚鑣,並希望在幾個月內推出新的應用程式。
尼爾森表示,他知道根據歐盟法律,他的公司必須在 72 小時內披露違規行為,否則將面臨巨額罰款,但該公司未能做到這一點。 「我確信我們會接受任何形式的處罰,」尼爾森說。
就在上個月,一個名為「英國簽證入口網站」的網站同樣向任何能猜出網址的人洩漏了至少 10 萬本護照。希望這是一個警鐘。
