Un chercheur en sécurité a récemment découvert que près de 985 000 passeports, permis de conduire et autres pièces d'identité avec photo et informations personnelles associées ont été exposés sur l'Internet public avec une protection quasi nulle par une société qui fournit des services logiciels aux clubs de cannabis espagnols. Tout hacker ayant des compétences techniques moyennes peut facilement les obtenir. Ce lot de données implique des utilisateurs du monde entier, dont environ 30 000 visiteurs américains, ainsi que quelques célébrités. Leurs informations d'identité, leurs selfies personnels, leurs coordonnées, leurs habitudes de consommation et d'autres informations privées enregistrées dans les clubs de cannabis en Espagne et ailleurs peuvent avoir été discrètement exposées.
La faille critique a été découverte par le chercheur en sécurité Sammy Azdoufal, qui a déjà révélé de graves failles de sécurité dans plusieurs balayeuses, babyphones et caméras de sécurité. Il a déclaré que grâce à une simple analyse de script, il avait découvert plus de 985 000 photos d'identité sur Internet, dont la grande majorité provenait du système espagnol d'enregistrement des membres des clubs de cannabis. Ces fichiers sont stockés sous des URL publiques extrêmement simples et prévisibles, sans aucun mot de passe ni contrôle d'accès, ce qui permet de visualiser l'image d'identification de n'importe quel utilisateur tant que le format du lien est connu.
Les clubs de cannabis eux-mêmes n'exploitent pas directement les systèmes concernés, mais utilisent des logiciels et des services cloud fournis par une société irlandaise appelée Cannabis Club Systems (CCS), anciennement connue sous le nom de Nefos Solutions. CCS fournit des systèmes de vérification des ventes, des finances et des admissions aux clubs : le personnel de la réception téléchargera les photos de passeport ou d'identité des utilisateurs et leurs selfies sur le cloud Nefos pour une vérification rapide de l'identité à l'avenir. Dans le modèle traditionnel, les membres doivent présenter une pièce d'identité physique à chaque fois qu'ils entrent dans le magasin, mais ce système permet au personnel d'appeler les données du cloud à des fins de comparaison. Certains clubs utilisent également une application mobile appelée PuffPal pour accélérer le processus d'admission en scannant les codes QR.
Cependant, lorsqu'Azdoufal a décompilé et analysé l'application PuffPal, il a constaté que la conception globale de la sécurité de Nefos était presque inutile. Non seulement la clé de la plateforme de paiement Stripe est intégrée en texte clair dans l'application, mais l'interface du profil utilisateur n'a besoin que de modifier un seul numéro pour accéder au profil complet des différents membres, qui peut inclure des données sensibles telles que les numéros de téléphone, les adresses personnelles, les informations de passeport et les préférences personnelles de consommation de cannabis. Ce qui est plus grave, c'est que le système enregistre les photos d'identité à une adresse publique telle que "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg" sans aucun jeton ni vérification d'autorisation, et les clubs téléchargent encore environ 5 000 nouvelles photos d'identité de cette manière chaque jour.
Azdoufal a également découvert qu'un backend de gestion destiné au club était également exposé sur le réseau public et que les mots de passe faibles utilisés pour les comptes du club pouvaient être déchiffrés en quelques minutes en utilisant la force brute sur les GPU modernes. La messagerie privée entre les clubs et les membres via l'application PuffPal s'est également avérée constituer un risque potentiel de fuite. Selon lui, cette pratique consistant à « jeter les clés d'un coffre-fort entier dans la rue » permet à tout attaquant intentionnel de voler et de revendre par lots ces données d'identité hautement sensibles, causant ainsi des dommages imprévisibles aux parties concernées.
Après l'intervention des médias, Nefos a finalement commencé à agir concrètement. Selon les derniers résultats des tests d’Azdoufal du 10 juin, la société a annoncé qu’elle arrêterait temporairement l’ensemble du système PuffPal et son API vulnérable. Les photos de passeport et les données personnelles semblent actuellement avoir été durcies et ne sont plus directement accessibles au monde extérieur par les méthodes précédentes. L'entreprise a déclaré qu'elle avait informé les agences de régulation locales de la situation, qu'elle réparerait entièrement le problème et assumerait la responsabilité des amendes, et qu'elle expliquerait également l'incident aux utilisateurs.
Le co-fondateur de Nefos, Andreas Nilsen, a déclaré dans une interview que la société avait contacté la Commission irlandaise de protection des données (DPC) au sujet de la violation de données, ce qui a également été confirmé par un porte-parole de la DPC par courrier électronique. Nilsen a déclaré qu'ils "doivent informer toutes les personnes potentiellement concernées" et espère que le DPC fournira des conseils sur la manière dont les entreprises peuvent se conformer à cette obligation. Il a également affirmé qu’il n’existe actuellement aucune preuve que des personnes extérieures autres qu’Azdoufal aient accédé aux données.
Cependant, à en juger par le calendrier, la réponse de Nefos à ce risque grave a manifestement été tardive. Après qu'Azdoufal ait contacté l'entreprise de manière proactive, Nefos n'a apporté aucune réponse substantielle jusqu'à cinq jours après que les médias ont indiqué qu'ils rapporteraient l'affaire. Au cours de cette période, l'entreprise a davantage « appliqué des correctifs » pour sceller les vulnérabilités locales afin d'éviter d'affecter les opérations commerciales, plutôt que d'arrêter fondamentalement les systèmes présentant des risques de sécurité.
Ce qui est encore plus ironique, c’est qu’au début du mois de juin de cette année, lorsqu’Azdoufal a informé les journalistes que la photo d’identité semblait avoir été verrouillée, le journaliste a découvert de manière inattendue que l’image d’identité d’Azdoufal était à nouveau visible publiquement en ligne. La raison en est que bien que Nefos ait temporairement restreint l’accès aux images, cela n’a pas immédiatement empêché le club d’utiliser l’application PuffPal. Les clients de ce dernier se sont plaints que « le chargement des images n'est plus aussi pratique qu'avant », ce qui a incité Nefos à assouplir à nouveau les restrictions d'accès. Nilsen a fait valoir que les images étaient bloquées environ « 70 % du temps » lors de ses conversations avec les chercheurs et les médias, mais il s'est avéré que l'entreprise privilégiait clairement ces derniers entre la protection de la vie privée des utilisateurs et le maintien de l'expérience client.
Le 9 juin, Azdoufal a découvert que même si Nefos avait ajouté des jetons d'accès à des fichiers tels que des images de passeport, d'autres données du profil utilisateur étaient toujours « en traînées ». Un pirate informatique n'a qu'à saisir une requête du type "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&lingual=en'" dans la ligne de commande pour obtenir un ensemble complet d'informations personnelles, notamment le numéro de passeport, le numéro de téléphone, l'adresse e-mail et l'adresse personnelle. Après avoir été à nouveau rappelé par les chercheurs et les médias, Nefos a complètement bloqué cette interface.
Face aux doutes, Nilsen a admis que la responsabilité ultime incombait à l'entreprise, mais a également imputé une partie de la faute à l'équipe d'externalisation. Il a nommé une société d'externalisation appelée 9Series, affirmant qu'elle était responsable du développement de l'application PuffPal et des API associées, et que ce sont ces interfaces qui ont permis de transférer une grande quantité de données non protégées directement de la base de données des utilisateurs de Nefos vers le réseau public. Au moment de mettre sous presse, 9Series n’a pas encore répondu.
Maintenant que PuffPal est fermé, Nefos informe les clubs de cannabis par e-mail que leurs membres ne pourront plus utiliser de codes QR pour participer. Cependant, le club peut toujours appeler les informations d'identité pertinentes depuis le serveur Nefos pour une vérification sur place en scannant la carte RFID du membre ou en saisissant le numéro de téléphone. Nilsen a souligné que la société ne relancerait pas PuffPal, non sécurisé, simplement parce que les clubs le demandaient, mais prévoyait de lancer une nouvelle application dans les mois à venir après avoir mis fin à son partenariat avec 9Series. Il a promis que le nouveau système serait audité par des chercheurs indépendants en sécurité et ne serait réutilisé qu'après confirmation de sa « sécurité à 100 % ».
En vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne, les entreprises doivent signaler toute violation de données aux régulateurs dans les 72 heures suivant leur survenance, sous peine de lourdes amendes. Nilsen a également reconnu que la société n'avait pas finalisé la divulgation dans le délai légal et que par conséquent "sera certainement soumise à une certaine forme de pénalité". Le mois dernier, un site Web appelé « UK Visa Portal » a également attiré l'attention du public en exposant au moins 100 000 passeports et selfies à des URL devinables. Les professionnels du secteur s'inquiètent de l'accumulation d'incidents similaires, révélant la négligence et le manque de clairvoyance d'un nombre croissant d'entreprises dans le traitement des informations d'identité hautement sensibles, et tirant une fois de plus la sonnette d'alarme sur la sécurité des données.