Al escribir algunas letras y números en mi navegador web, me quedo boquiabierto ante los documentos de identidad de completos desconocidos. El pasaporte de una joven de Alemania. El pasaporte de un hombre de España con gafas apoyadas en la cabeza. El anverso y el reverso de la licencia de conducir de otro hombre, con una expresión estereotipada de tonto en su rostro.
Todos estaban desprotegidos en URL públicas, sin contraseña ni control de acceso de ningún tipo. Si te envié un enlace, podrías haber mirado el pasaporte de alguien.
«Tenemos que hacer algo al respecto lo más rápido posible, porque la gente lo encontrará y lo revenderá. Causará daño», me dijo Sammy Azdoufal en mayo.
Azdoufal es el investigador de seguridad que utilizó Claude Code para ayudar a descubrir que cada robot aspirador DJI Romo y un millón de monitores para bebés y cámaras de seguridad eran vergonzosamente fáciles de piratear. Esta vez, dice que descubrió más de 985.000 identificaciones con fotografía en la Internet pública para que las robe cualquier hacker medio decente.
Si has visitado un club de cannabis en España, dice Azdoufal, es probable que tu identificación con foto esté entre ellos, y posiblemente tu número de teléfono, dirección, tus variedades favoritas de cannabis y cuánto consumiste cada mes mientras estuviste allí. Azdoufal dice que en la base de datos también hay celebridades y visitantes de todo el mundo, incluidos 30.000 de Estados Unidos. «Tienen gente famosa», dice Azdoufal. «Personas que no quieren que todos sepan que fuman marihuana».
Aquí hay un resumen aproximado de la base de usuarios que la herramienta automatizada de Azdoufal pudo ver y los nombres de algunos de los clubes:
Imagen: Sammy Azdoufal
No son los clubes los que no protegieron estos documentos de identidad. Una empresa irlandesa llamada Cannabis Club Systems (CCS), formalmente Nefos Solutions, desarrolla y proporciona el software que estos clubes utilizan para ventas, contabilidad y admisiones, incluido un sistema de verificación donde los recepcionistas cargan sus identificaciones y selfies en la nube de Nefos.
Tradicionalmente, debías proporcionar una identificación con fotografía cada vez que deseabas ingresar a un club. Pero con el sistema de verificación, la recepcionista puede recuperar sus documentos de identidad almacenados y comprobar si su rostro coincide. También hay una aplicación opcional llamada PuffPal que permite a los clubes escanear un código QR para ingresar más rápido.
Pero cuando Azdoufal descompiló esa aplicación PuffPal, explica en su informe, descubrió que Nefos no tenía un nivel significativo de seguridad. Descubrió una clave secreta para la plataforma de pagos Stripe dentro de la aplicación en texto sin formato. Descubrió que podía abrir el perfil de cualquier miembro simplemente cambiando un número. Si esos perfiles incluían su número de teléfono, domicilio, pasaporte y preferencias de marihuana, ahora él también tenía acceso a ellos.
Y luego, descubrió que esos pasaportes, licencias de conducir e identificaciones con fotografía se almacenaban en URL públicas tan simples como esta: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
Esos clubes subían 5.000 nuevas identificaciones con fotografía con estas URL inseguras todos los días, me dice Azdoufal.
También encontró un portal de administración accesible a través de la Internet pública, y que los clubes de cannabis tenían un nivel trivial de seguridad en sus propias cuentas, usando contraseñas que, en teoría, podrían descifrarse en minutos con una GPU moderna. Los mensajes de chat privados entre clubes y miembros a través de la aplicación PuffPal también eran vulnerables.
La buena noticia: aproximadamente un mes después de que contactáramos a Nefos, la compañía finalmente parece estar tomando medidas significativas. La compañía dice que está cerrando todo su sistema PuffPal y las API vulnerables hasta que puedan solucionarse; en las últimas pruebas de Azdoufal el 10 de junio, las imágenes de pasaporte y los datos personales parecen estar seguros. Nefos también informó a las autoridades locales y dice que asumirá la responsabilidad de realizar correcciones, pagar multas y contar a los usuarios lo sucedido.
En una entrevista telefónica, el cofundador de Nefos, Andreas Nilsen, cuenta El borde que está en contacto con la Autoridad de Protección de Datos de Irlanda (DPC) sobre la violación de datos, un hecho que el portavoz de la DPC, Evan O’Leary, nos confirmó por correo electrónico. «Tenemos que comunicarnos con todos los que estuvieron potencialmente expuestos», me dice Nilsen, y espera que el DPC pueda mostrarle a su empresa cómo hacerlo correctamente. Nilsen afirma que actualmente no hay evidencia de que alguien externo haya accedido a los datos además de Azdoufal.
Pero Nefos tardó demasiado en tomarse en serio la amenaza. Pasaron cinco días y la amenaza de una historia antes de que la empresa nos respondiera, mucho después de que Azdoufal se acercara. Luego, Nefos empezó a tapar los agujeros con papel en lugar de arriesgar el negocio.
Estaba preparado para escribir esta historia a principios de junio, después de que Azdoufal me dijera que Nefos finalmente había bloqueado las imágenes del pasaporte. Pero el 4 de junio sorprendí a Azdoufal mostrándole que su propio pasaporte estaba nuevamente en línea, sin ninguna protección.
Esto se debe a que Nefos aún no había impedido que los clubes de cannabis usaran la aplicación PuffPal, y los clubes se quejaban de que las imágenes bloqueadas no aparecían como antes, por lo que Nefos simplemente desbloqueó las imágenes nuevamente. Si bien Nilsen afirma que las imágenes estuvieron bloqueadas «el 70 por ciento de las veces» desde que Azdoufal y yo nos pusimos en contacto, está bastante claro que Nefos tomó la decisión de priorizar a sus clientes en lugar de la amenaza.
El 9 de junio, Azdoufal descubrió que, aunque Nefos había bloqueado las imágenes de los pasaportes y las identificaciones con fotografía con fichas, todo lo demás en los perfiles de usuario todavía era fácilmente accesible: números de pasaporte, números de teléfono, direcciones de correo electrónico, domicilios, todo.
Todo lo que un hacker tenía que hacer era escribir “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=[NUMBER]&[CLUB NAME]=test&language=en» en una línea de comando, y los servidores entregarían libremente una gran cantidad de información personal. Después de que le informamos sobre esto a Nefos, ese agujero también se cerró.
Pero ¿cómo pudo la empresa ser tan descuidada? “No quiero echarle la culpa a otros porque, al final del día, la culpa recae en nosotros”, dice Nilsen. Pero sí señala con el dedo a 9Series, una empresa de subcontratación que, según él, fue responsable del desarrollo de la aplicación PuffPal y de la creación de todas las API vulnerables que utilizó para extraer datos desprotegidos de la base de datos de usuarios de Nefos. (9Series no tuvo respuesta al momento de la publicación).
Ahora que PuffPal no funciona, Nefos envía correos electrónicos a todos los clubes para informarles que sus miembros no podrán usar esos códigos QR para ingresar, pero aún pueden obtener identificaciones de los servidores de Nefos después de escanear la tarjeta RFID de un miembro o escribir su número de teléfono, entre otros ejemplos.
Nilsen afirma que su empresa no se limitará a relanzar PuffPal no seguro si los clubes lo solicitan. «Vamos a decirles que no podemos», dice. «Nos aseguraremos, después de esta debacle, de que esto sea verificado por un investigador de seguridad independiente y garantizaremos que es 100 por ciento seguro». Dice que Nefos se está separando de 9Series y espera tener una nueva aplicación dentro de unos meses.
Nilsen dice que es consciente de que, según la legislación de la UE, su empresa tenía legalmente que revelar la infracción en un plazo de 72 horas o pagar multas importantes, algo que la empresa no hizo.. «Estoy seguro de que recibiremos cualquier tipo de penalización», dice Nilsen.
El mes pasado, un sitio web llamado Portal de Visas del Reino Unido expuso de manera similar al menos 100.000 pasaportes a cualquiera que pudiera adivinar una URL. Esperemos que esto sea una llamada de atención.
