Un millón de documentos de identidad de socios de clubs de cannabis españoles quedan expuestos en internet
Los datos personales y documentos de identidad de cientos de miles de socios de clubs de cannabis en España han estado accesibles en internet sin ningún tipo de protección durante un periodo prolongado. Los datos incluyen pasaportes, DNIs, carnets de conducir, direcciones, teléfonos e incluso hábitos de consumo de estos usuarios.
La brecha, descubierta por un investigador de seguridad independiente, afecta a cerca de un millón de personas y, según el propio investigador, a usuarios de cannabis con proyección pública que preferían mantener en privado sus hábitos de consumo.
Un fallo en el proveedor de software
Los clubs de cannabis españoles utilizan habitualmente softwares de gestión para controlar el acceso de sus socios, registrar sus consumos y gestionar la contabilidad del local. Buena parte de ellos usan el programa de una empresa irlandesa llamada Cannabis Club Systems (CCS), anteriormente conocida como Nefos Solutions.
La empresa ofrece además un sistema de verificación de identidad muy útil para los clubes: los recepcionistas fotografían el documento del socio y lo suben a los servidores de Nefos para agilizar futuras visitas. La compañía también comercializaba una aplicación, PuffPal, que permitía el acceso mediante código QR.
El problema, según ha desvelado The Verge, estaba en cómo Nefos almacenaba esa información. Sammy Azdoufal, investigador de seguridad reconocido por haber expuesto otras vulnerabilidades graves en protección de datos, analizó la aplicación PuffPal y descubrió que los documentos de identidad se guardaban en direcciones web públicas con una estructura predecible, sin contraseña ni ningún control de acceso. Cualquier persona con mínimos conocimientos técnicos podía acceder a ellos simplemente escribiendo la URL correcta.
La magnitud del problema era considerable: cada día se subían unos 5.000 nuevos documentos a esos servidores desprotegidos, y en total Azdoufal identificó cerca de 985.000 archivos expuestos. Además de las imágenes de los documentos, los perfiles de usuario incluían números de teléfono, direcciones postales, correos electrónicos y datos sobre las variedades de cannabis consumidas y la frecuencia de visitas a los clubes.
Otras vulnerabilidades en cadena
El análisis de Azdoufal reveló brechas de seguridad en otros frentes. El código de la aplicación PuffPal contenía sin apenas protección una clave secreta del sistema de pagos Stripe, de manera que el portal de administración de los clubs era accesible para cualquiera con unos mínimos conocimientos informáticos. Los mensajes privados entre clubs y socios también estaban expuestos así como los perfiles de usuario.
Tras ser contactada por The Verge y ofrecer respuestas que no arreglaron el problema, la empresa acabó desactivando a mediados de junio la app PuffPal, notificó a la Autoridad irlandesa de Protección de Datos (DPC) y comunicó a los clubs el cierre del sistema de acceso por QR.
Andreas Nilsen, cofundador de Nefos, reconoció que la empresa incumplió la normativa europea, que exige notificar las brechas de datos en un máximo de 72 horas. “Recibiremos la sanción que corresponda”, admitió. Nilsen atribuyó parte de la responsabilidad técnica a una empresa externa encargada de desarrollar PuffPal, aunque asumió que la responsabilidad última es de su compañía.
Según este directivo de la empresa, no hay evidencias de que nadie más allá de Azdoufal haya accedido a los datos, aunque eso es difícil de verificar. La empresa ha prometido que no relanzará PuffPal hasta que una auditoría de seguridad independiente certifique que el sistema es seguro y se ha desvinculado de la compañía que lo desarrolló.
4