Исследователь Sammy Azdoufal обнаружил, что более 985 000 фотографий удостоверений личности (паспортов, водительских прав) были доступны в открытом интернете без какой-либо защиты. Данные принадлежали посетителям каннабис-клубов в Испании.
Уязвимость была найдена в системе Cannabis Club Systems (CCS), разработанной ирландской компанией Nefos Solutions. Система использовалась для верификации клиентов при входе в клубы. Фотографии хранились по простым публичным URL вида https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg.
Аздуфал также обнаружил, что в приложении PuffPal в открытом виде хранился секретный ключ Stripe, а административный портал был доступен из интернета. Пароли клубов были слабыми, а личные сообщения не защищены.
Компания Nefos первоначально не реагировала на уведомления, а затем откатила исправления после жалоб клубов. В итоге, после повторного обращения, система PuffPal была отключена, а уязвимости закрыты. Nefos связался с регулятором данных Ирландии и обещает провести независимый аудит.
«Мы должны сделать что-то как можно быстрее, иначе люди найдут это и перепродадут», — сказал Аздуфал.
Похожий инцидент произошел ранее с порталом UK Visa, где были открыты 100 000 паспортов. Этот случай может стать сигналом к повышению безопасности.
0 комментариев