Aproape un milion de pașapoarte, cărți de identitate și permise de conducere reale au stat expuse pe internetul public, fără nicio parolă sau măsură de protecție, dintr-o greșeală de configurare a unei firme de software care deservește cluburi de cannabis. Breșa a fost descoperită și raportată de cercetătorul de securitate Sammy Azdoufal, iar The Verge a confirmat detaliile cazului. Baza de date a aparținut companiei Cannabis Club Systems, cunoscute și sub numele de Nefos Solutions, care dezvoltă aplicația PuffPal.

Conform The Verge, baza de date expusă conținea peste 985.000 de documente de identitate, inclusiv imagini cu documente reale ale clienților care vizitaseră cluburi de cannabis ce foloseau sistemul firmei. Printre documentele vizibile se numărau pașapoarte internaționale, cărți de identitate naționale și permise de conducere din mai multe țări. Cluburile afectate sunt preponderent din Spania, cu vizitatori din toată lumea, printre care aproximativ 30.000 de cetățeni americani. Datele nu erau criptate și nu necesitau nicio autentificare pentru a fi accesate - oricine știa unde să caute putea descărca totul.

Azdoufal a descoperit vulnerabilitățile după ce a decompilat aplicația PuffPal, găsind chei API în text simplu și URL-uri publice predictibile care duceau direct la baza de date. A notificat imediat compania, iar accesul public la date a fost închis ulterior. Nu există nicio confirmare oficială despre cât timp au stat expuse înregistrările sau dacă actori malițioși le-au accesat înaintea cercetătorului. Co-fondatorul Andreas Nilsen a oferit un interviu detaliat The Verge în legătură cu incidentul.

Această breșă urmează un pattern îngrijorător de securitate neglijentă în industria de verificare a identității. Cluburile de cannabis, ca și barurile și cluburile de noapte, sunt obligate prin lege să verifice vârsta clienților. Ca urmare, colectează în mod sistematic documente de identitate - adesea prin aplicații mobile sau sisteme de scanare la intrare. Problema este că furnizorii de software care procesează aceste date nu sunt supuși acelorași reglementări stricte ca instituțiile financiare sau furnizorii medicali, ceea ce lasă lacune uriașe în securitatea datelor. Un pașaport expus nu înseamnă doar o poză - înseamnă un document cu serie, număr, dată de naștere și fotografie, suficient pentru tentative de furt de identitate sau fraudă documentară.

Pentru publicul larg, incidentul ridică o întrebare simplă: când ai dat documentul la intrarea într-un club sau bar, ai știut ce se întâmplă cu datele tale? Răspunsul, în multe cazuri, este că nici proprietarii cluburilor nu știu cu exactitate cum furnizorul lor de software stochează sau protejează acele informații.

Dacă ai vizitat un club de cannabis din afara României care folosea sisteme digitale de verificare a identității, ar trebui să fii atent la semne de furt de identitate: cereri neobișnuite de credit, e-mailuri suspecte care pretind că provin de la instituții oficiale sau activitate ciudată pe conturi bancare. Cel mai prudent pas este să contactezi direct clubul și să întrebi ce furnizor de software folosesc și dacă sistemul a fost afectat de breșa Cannabis Club Systems. Rămâne de văzut dacă autoritățile de protecție a datelor vor deschide o investigație formală - dar până atunci, responsabilitatea verificării aparține fiecărui utilizator.