← На главную

Почти 985 000 фото удостоверений утекли из Cannabis Club Systems

28.06.2026 11:22 · hackernews

Исследователь безопасности Sammy Azdoufal, который раньше находил уязвимости в роботах-пылесосах DJI Romo и миллионе видеонянь, наткнулся на новую серьёзную проблему. Он обнаружил в открытом доступе почти 985 000 фотографий удостоверений личности. Все они висели на публичных URL без пароля или какой-либо защиты. Достаточно было сменить один номер в ссылке вроде https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg, чтобы увидеть паспорт или права любого человека. За день клубы загружали по 5000 таких фото.

Источник утечки — ирландская компания Cannabis Club Systems (CCS, официально Nefos Solutions). Она разрабатывает софт для испанских каннабис-клубов: учёт продаж, контроль входа, проверку лиц. Вместо того чтобы каждый раз предъявлять документ, персонал клуба загружает ID и селфи в облако Nefos. Есть даже дополнительное приложение PuffPal для быстрого прохода по QR-коду. Когда Azdoufal декомпилировал PuffPal, он нашёл внутри секретный ключ от платёжной платформы Stripe в открытом виде. Потом он понял, что может получить профиль любого участника, подставив другой номер. А к профилям прилагаются паспорт, телефон, адрес, предпочтения по сортам каннабиса и даже данные о потреблении за месяц.

Самые слабые пароли у администраторов клубов компания не проверяла, чаты в PuffPal тоже не были защищены. После того как журналисты The Verge и исследователь связались с Nefos, компания реагировала медленно. Сначала она закрыла доступ к фотографиям, но из-за жалоб клубов открыла их снова. «70 процентов времени» защита якобы работала, говорит сооснователь Nefos Andreas Nilsen, но это слабое утешение. Даже когда фото залочили, все остальные личные данные (номера паспортов, телефоны, адреса) можно было вытащить простым curl-запросом к API userProfile.php. Nilsen утверждает, что разработкой PuffPal занималась аутсорсинговая фирма 9Series, и теперь Nefos разрывает с ней отношения.

Только к 10 июня Nefos отключила все уязвимые API и закрыла изображения. Компания связалась с ирландским Data Protection Commission (DPC), признала утечку и готовится к штрафам — по законам ЕС о нарушении срока уведомления (72 часа). Nilsen обещает привлечь независимого специалиста по безопасности, прежде чем выпускать исправленную версию. Пока что PuffPal не работает, клубам придётся пользоваться старыми методами — RFID-картами и поиском по номеру телефона.

Читать оригинал →