Expostos os datos persoais de preto dun millón de consumidores de cánnabis

Unha grave fenda de seguridade na plataforma Cannabis Club Systems (CCS), desenvolvida pola empresa irlandesa Nefos Solutions para a xestión de clubs sociais de cánnabis, deixou accesibles na Internet centos de miles de documentos de identidade, rexistros persoais e mensaxes privadas de membros destes establecementos en varios países.
A vulnerabilidade foi descuberta polo investigador de seguridade Sammy Azdoufal, quen asegura que puido acceder sen autenticación a máis de 1,08 millóns de perfís de usuarios e a 985.841 imaxes de pasaportes, documentos nacionais de identidade e permisos de conducir. Segundo a súa investigación, os ficheiros atopábanse almacenados en enderezos web públicos e previsibles, sen ningún mecanismo de control de acceso.
Os datos afectados ían moito máis alá das imaxes dos documentos. Os rexistros incluían nomes completos, enderezos postais, números de teléfono, correos electrónicos, datas de nacemento, nacionalidades, números de pasaporte, preferencias de consumo de cannabis e cantidades consumidas mensualmente. Tamén estaban dispoñibles máis de 9.000 mensaxes privadas intercambiadas entre membros e clubs.
A investigación apunta a que a exposición afectou a usuarios de máis de 377 clubs distribuídos por distintos países. A maior parte dos rexistros correspondían a España, Italia, Francia, Suráfrica, Reino Unido, Alemaña e EE.UU. Entre os afectados figurarían tamén visitantes internacionais e persoas coñecidas que preferían manter en privado a súa relación con este tipo de establecementos.
O acceso aos datos produciuse a través dunha API que non requiría identificación previa. Bastaba modificar determinados identificadores numéricos para consultar os perfís doutros usuarios. Ademais, as fotografías dos documentos almacenábanse en directorios accesibles directamente desde a web.
Azdoufal tamén asegura que atopou outras deficiencias de seguridade. Entre elas figuraban claves de acceso a servizos de pago de Stripe incluídas directamente na aplicación PuffPal, unha ferramenta opcional utilizada por algúns clubs para facilitar o acceso dos socios mediante códigos QR. Tamén detectou problemas na integración con Firebase que permitían acceder a información de contas de usuario e a tokens de notificación.
A exposición resulta especialmente delicada pola natureza dos datos recompilados. Segundo o investigador, máis dun millón de rexistros estaban clasificados dentro da plataforma como usuarios de cánnabis medicinal, unha información que a normativa europea considera dato sanitario e que goza dun nivel reforzado de protección baixo o Regulamento Xeral de Protección de Datos (GDPR), polo que a sanción que poderían ter que enfrontar os responsables deste fallo de seguridade podería chegar aos 20 millóns de euros.
Azdoufal deu conta de 212.697 españois afectados por este incidente de seguridade, aos que recomenda acudir á Axencia Española de Protección de Datos para denunciar o acontecido.
A publicación da investigación provocou a reacción de Nefos Solutions. O cofundador da empresa, Andreas Nilsen, confirmou que a compañía está en contacto coa Comisión de Protección de Datos de Irlanda e que asumirá a responsabilidade das correccións necesarias. Tamén anunciou a suspensión temporal de PuffPal e das API afectadas mentres se completan os traballos de remediación.
As comprobacións realizadas o 10 de xuño por Azdoufal indican que o acceso directo ás imaxes dos documentos xa foi bloqueado. Porén, algunhas das vulnerabilidades máis relevantes aínda non puideron verificarse de maneira independente, xa que determinados servizos permanecen fóra de liña por tarefas de mantemento.
Nilsen recoñeceu igualmente que a compañía non notificou o incidente dentro do prazo de 72 horas establecido pola lexislación europea para este tipo de fallos de seguridade, unha circunstancia que podería derivar en sancións económicas. O directivo atribuíu parte dos problemas a unha empresa externa encargada do desenvolvemento de PuffPal, aínda que admitiu que a responsabilidade final corresponde a Nefos.