Casi un millón de pasaportes e identificaciones con fotografía quedaron expuestos en Internet

Después de escribir algunas letras y números en mi navegador, me encuentro boquiabierto ante documentos de identidad completamente extranjeros. Diploma de la chica alemana a. Diploma de un hombre de España con gafas apoyadas en la cabeza. En el anverso y el reverso de un permiso de conducir extranjero, una expresión estereotípicamente contundente en su rostro.

Todas las tabernas estaban vacías, sin entradas ni ningún tipo de control de acceso. Si te enviara un enlace, podrías mirar el pasaporte de alguien.

«Necesitamos hacer algo al respecto lo más rápido posible, porque la gente lo encontrará y lo revenderá. Causará daños», me dijo Sammy Azdoufal en mayo.

Azdoufal es un investigador de seguridad que utilizó el Código de Claudio para encontrar ayuda. todos los robots aspiradores DJI Romo y millones de monitores para bebés y cámaras de seguridad fácilmente matarán con un sonrojo. En este momento, dice que encontró más de 985.000 identificaciones con fotografía en la Internet pública para que las robe cada hacker medio decente.

Si has visitado un club de cannabis en España, dice Azdoufal, es probable que esa foto esté entre ellos, y tal vez un número de teléfono, un correo electrónico, tu cannabis favorito y cuánto gastaste allí cada mes. Azdoufal dice que también hay celebridades en la base de datos y visitantes de todo el mundo, incluidos 30.000 de Estados Unidos. «Tienen estas celebridades», dijo Azdoufal. «Todas las personas que no quieres conocer fuman marihuana».

Aquí hay un resumen aproximado de lo que Azdoufal pudo ver en la herramienta automatizada y los nombres de algunos de los clubes:

No clubes que no protegieron estos documentos de identidad. El condado irlandés llamado Cannabis Club Systems (CCS), formalmente Nefos Solutions, desarrolla y proporciona software para que estos clubes lo utilicen en ventas, contabilidad y admisión, incluido un sistema de verificación donde los recepcionistas cargan sus identificaciones y selfies en la nube de Nefos.

Tradicionalmente, debes proporcionar una identificación con fotografía cada vez que quieras ingresar al club. Pero con el sistema de verificación, la recepción puede recuperar sus documentos de identidad almacenados y comprobar si su rostro coincide. También hay una aplicación opcional llamada PuffPal, que administra los clubes con un código QR para una entrada más rápida.

Pero cuando Azdoufal compiló la aplicación PuffPal; explica en el informeDescubrió que Nefos no tenía ningún nivel de seguridad. Revela la clave secreta de la plataforma de pagos que se encuentra dentro de la aplicación en texto sin formato. Descubrió que estaba sacando a todos los miembros de lo profano de una manera diferente. Si esos perfiles incluían número de teléfono, correo electrónico particular, pasaporte y preferencias de marihuana, ahora también tenía acceso a ellos.

Luego descubrió que esos pasaportes, licencias de conducir e identificaciones con fotografía estaban almacenados en URL públicas como esta: https://ccsnubev2.com/v8/images/_{clav}/ID/{user_id}-front.jpg

Esos clubes enviaban 5.000 nuevas identificaciones con fotografía con estas URL aleatorias todos los días, me dice Azdoufal.

También descubrió que se podía acceder al portal de administración a través de la Internet pública y que los clubes de cannabis tenían una falla de seguridad en sus cuentas, contraseñas que podían descifrarse en minutos con una GPU moderna. Los mensajes de chat privados entre clubes y miembros a través de la aplicación PuffPal eran vulnerables.

La buena noticia: casi un mes después de que visitamos Nefos, la empresa finalmente parece estar tomando medidas importantes. La compañía dice que está cerrando todo el sistema PuffPal y las API vulnerables hasta que puedan solucionarse; en las últimas pruebas de Azdoufal del 10 de junio, las fotos diplomáticas y los datos personales parecen estar seguros. Nefos también ha informado a las autoridades locales, y dice que es su responsabilidad pagar señales, multas e informar a los usuarios de lo sucedido.

En una entrevista telefónica, el cofundador Andreas Nilsen le dice a Nefos Borde que ha estado en contacto con la Autoridad de Protección de Datos de Irlanda (DPC) sobre la violación de datos, lo cual el portavoz de la DPC, Evan O’Leary, nos confirmó por correo electrónico. “Tenemos que comunicarnos con todos los que están potencialmente expuestos”, me dice Nilsen, y espera que el DPC pueda mostrarle a su empresa cómo hacerlo bien. Nilsen afirma que ahora no hay pruebas de que alguien más que Azdoufal haya accedido a los datos.

Pero fue demasiado tiempo para tomar en serio a Nefos. Tardó cinco días y respondió a la amenaza de decírnoslo ante la empresa, mucho después de que Azdoufal se acercara. Luego, Nefos empezó a repartir espacios de papel para las empresas.

Estaba listo para escribir esta historia a principios de junio, después de que Azdoufal me dijera que Nefos finalmente la había incluido en las fotografías de Diplomat. Pero el 4 de junio, Azdoufal se sorprendió al revelar que su pasaporte estaba nuevamente en línea sin ninguna protección.

Esto se debe a que Nefos aún no había impedido que los clubes de cannabis usaran la aplicación PuffPal, y los clubes se quejaban de que las fotos cerradas no aparecían como antes, por lo que Nefos simplemente desbloqueó las fotos nuevamente. Si bien Nilsen afirma que las fotos «estuvieron cerradas el 70 por ciento de las veces» con Azdoufal y yo liderando el toque, está bastante claro que Nefos tomó la decisión de priorizar a sus clientes en lugar de la amenaza.

El 9 de junio, Azdoufal descubrió que, aunque Nefos había incluido fotografías de pasaporte e identificaciones con los carteles; todo lo demás el perfil de usuario todavía era fácilmente accesible: número de pasaporte, número de teléfono, dirección de correo electrónico, domicilio, todo.

Todo lo que los piratas tenían que hacer era escribir «curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d «user_id=(NUMBER)&(CLUB NAME)=test&language=en» en la línea de comando, dando a los servidores la responsabilidad libre de proporcionar información personal. Después de que le llevamos esta idea a Nefos, se cerró.

Pero ¿cómo puede la sociedad ser tan descuidada? «No quiero echarle la culpa a otros, porque al final es culpa nuestra», afirmó Nilsen. Pero él señala con el dedo. en la Serie 9La empresa emergente afirma ser responsable del desarrollo de la aplicación PuffPal y de la creación de todas las API vulnerables que solían extraer datos de la base de datos de usuarios del indefenso Nefos. (9Series no tuvo respuesta al momento de la publicación).

Ahora PuffPal está inactivo y envía correos electrónicos a cada club de Nefos para informarles que sus miembros no pueden usar esos códigos QR para ingresar, pero aún pueden obtener identificaciones de los servidores de Nefos después de sacar una tarjeta RFID o que un miembro escriba su número de teléfono, entre otros ejemplos.

Nilsen afirma que su empresa no volverá a prometer PuffPal no garantizado si los clubes se lo piden. «Vamos a decirles que no podemos», dijo. «Después de esta reunión, haremos que un investigador de seguridad independiente lo verifique y garantizaremos que es 100 por ciento seguro». Dice que Nefos se está alejando del camino con la Serie 9 y espera tener una nueva aplicación dentro de unos meses.

Nilsen dice que sabe que según la legislación de la UESu empresa estaba obligada legalmente a revelar su información en un plazo de 72 horas o pagar multas importantes, algo que la empresa no hizo.. «Ciertamente aceptaremos cualquier castigo», afirmó Nilsen.

El mes que viene, un sitio web llamado Portal de Visas del Reino Unido Asimismo, al menos 100.000 pasaportes. al que podía echarle una residencia. Esperemos que esto sea una llamada para dormir.