Журналист вбил в браузер несколько символов — и на экране появился паспорт молодой немки. Потом паспорт испанца. Потом права ещё одного мужчины. Никакого пароля, шифрования или контроля доступа. Почти миллион паспортов и удостоверений личности из нескольких европейских стран лежали на публичных серверах, доступные каждому по прямой ссылке. Документы провисели так месяцы, пока их не убрали, пишет The Verge. Это одна из крупнейших утечек ID-документов за последнее время — и причина в фундаментальном игнорировании безопасности.
Данные хранились на системах, которые использовали каннабис-клубы и компания Nefos (она владеет платформой PuffPal для управления членством и проверкой возраста в таких клубах по всей Европе). Сканы паспортов, прав с фото, имена и номера — всё это было доступно без единой защиты. Исследователь Sammy Azdoufal, нашедший утечку, сказал The Verge, что ситуация критическая: люди найдут эти данные и перепродадут, будет нанесён серьёзный ущерб. Согласно рекомендациям Federal Trade Commission, украденные паспорта и права ведут к краже личности, мошенничеству с документами и взлому аккаунтов.
Никакого взлома не было. Документы просто лежали в открытом доступе — по дизайну, точнее по умолчанию. Компания собирала данные якобы для age verification, но хранила их так, будто безопасность опциональна: ни аутентификации, ни шифрования, ни логирования. Это напоминает сценарий Cambridge Analytica: сбор больших объёмов данных с благовидным предлогом, а безопасность — как послесловие.
Срок экспозиции неизвестен. Документы убрали, но сколько они были доступны и кто их скачал — вопрос открытый. Официальных заявлений от Nefos или клубов нет. Главная проблема: паспорт нельзя «сменить» как пароль. Замена требует бюрократии и времени, а украденные документы будут работать ещё годы. Регуляторы европейских стран пока молчат — ответят ли Nefos за утечку и получат ли пострадавшие хоть какую-то компенсацию, остаётся неясным.