发明这一严重马脚的是安然研究员 Sammy Azdoufal,他此前曾披露多款扫地机、婴儿监督器和安然摄像头存在严重安然缺点。他表示,经由过程简单的脚本扫描,他在互联网上发清楚明了跨越 98.5 万张身份证件照片,个中绝大年夜部分来自西班牙的大年夜麻俱乐部会员注册体系。这些文件被存放在极其简单、可猜测的公开 URL 下,没有任何暗码或拜访控制,只要知道链接格局就能查看随便率性用户的证件图像。
这些大年夜麻俱乐部本身并不直接运营相干体系,而是应用一家名为 Cannabis Club Systems(CCS)的爱尔兰公司供给的软件和云办事,该公司此前也名为 Nefos Solutions。CCS 为俱乐部供给发卖、财务以及入场验证体系:接待人员会将用户护照或身份证照片以及自拍上传到 Nefos 的云端,以便日后快速核验身份。在传统模式下,会员每次进店都要出示实体证件,而该体系则许可工作人员经由过程调出云端材料进行比对,部分俱乐部还配套应用名为 PuffPal 的手机应用,经由过程扫描二维码加快入场流程。
然而,当 Azdoufal 对 PuffPal 应用进行反编译分析时,他发明 Nefos 的整体安然设计几乎形同虚设。应用内不仅以明文情势嵌入了 Stripe 付出平台的密钥,用户材料接口也只需修改一个数字就能拜访到不合会员的完全档案,个中可能包含德律风号码、家庭住址、护照信息以及小我大年夜麻花费偏好等敏感数据。更严重的是,体系将身份证件照片保存在类似 “https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg” 的公开地址上,没有任何令牌或权限校验,而各俱乐部天天仍在以如许的方法上传约 5000 张新证件照。
面对证疑,Nilsen 在承认最终义务在公司的同时,也将部分锅甩给了外包团队。他点名一家名为 9Series 的外包公司,称其负责开辟 PuffPal 应用和相干 API,而恰是这些接口让大年夜量未加保护的数据从 Nefos 的用户数据库中被直接调取大公网。截至发稿时,9Series 尚未就此作出回应。
Azdoufal 还发明,一个面向俱乐部的治理后台同样裸露在公网,并且俱乐部账号应用的弱暗码在现代 GPU 的暴力破解下可以在数分钟内被攻破。经由过程 PuffPal 应用在俱乐部与会员之间的私聊消息,也被证实存在潜在泄漏风险。在他看来,这种“把一整座金库的钥匙顺手扔在街上”的做法,让任何有心的进击者都可以或许批量窃取并转卖这些高度敏感的身份数据,对当事人造成无法预估的伤害。
在媒体介入后,Nefos 终于开端采取本质行动。据 Azdoufal 在 6 月 10 日的最新测试成果,这家公司已经宣布临时封闭 PuffPal 整套体系及其存在马脚的 API,护照图片和小我数据今朝看起来已被加固,外界已无法再经由过程此前的方法直接拜访。公司方面表示,已向本地监管机构传递情况,将周全修复问题并承担罚款义务,同时向用户解释事宜经由。
根据欧盟《通用数据保护条例》(GDPR),企业在产生数据泄漏后 72 小时内必须向监管机构申报,不然可能面对巨额罚款。Nilsen 也承认,公司没有在法准时限内完成披露,是以“肯定会受到某种情势的处罚”。就在上个月,一家名为 “UK Visa Portal” 的网站同样因将至少 10 万份护照及自摄影裸露在可猜测 URL 下而激发舆论存眷。业内人士担心,类似事宜正在赓续累积,裸露出越来越多企业在处理高度敏感身份信息时的忽视和短视,也再次敲响了数据安然的警钟。
Nefos 结合开创人 Andreas Nilsen 在接收采访时称,公司已经就此次数据泄漏事宜与爱尔兰数据保护委员会(DPC)取得接洽,这一点也获得了 DPC 谈话人经由过程邮件的证实。Nilsen 表示,他们“必须向所有可能受影响的人发出通知”,并欲望 DPC 能指导公司若何规范地实施这一义务。他同时声称,今朝尚无证据显示除 Azdoufal 以外的外部人员拜访过这些数据。
不过,从时光线上看,Nefos 对这起严重风险的响应明显迁延。在 Azdoufal 主动接洽公司后,Nefos 迟迟未做出本质回应,直到媒体注解要报道此事五天之后才正式答复。在此时代,公司更多是在“打补丁”式地封堵局部马脚,以避免影响营业运转,而非从根本上停止存在安然隐患的体系。
更具讽刺意味的是,本年 6 月初,当 Azdoufal 告诉记者护照照片似乎已经被锁准时,记者却不测发明 Azdoufal 本人的护照图像再次在网上公开可见。原因在于,Nefos 虽临时限制了图像拜访,但并未急速停止俱乐部应用 PuffPal 应用,而后者的客户因抱怨“图片加载不如早年便利”,促使 Nefos 再次摊开了拜访限制。Nilsen 辩称,在他们与研究人员和媒体沟通时代,图像大年夜约有“70% 的时光”处于封锁状况,但事实证实公司在保护用户隐私和保护客户体验之间,明显偏向了后者。
到了 6 月 9 日,Azdoufal 又发明,尽管 Nefos 已经为护照图片等文件增长了拜访令牌,用户档案中的其他数据仍处于“裸奔”状况。黑客只需在敕令行中输入类似 “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[编号]&[俱乐部名]=test&language=en'” 的请求,就能获取到包含护照号码、德律风、邮箱和家庭住址在内的一整套小我信息。在研究员和媒体再次提示后,Nefos 才彻底封堵了这一接口。
今朝,跟着 PuffPal 被封闭,Nefos 正经由过程邮件通知各家大年夜麻俱乐部,其会员往后将无法再应用二维码入场。不过,俱乐部仍可经由过程扫描会员的 RFID 卡或输入德律风号码等方法,从 Nefos 办事器调用相干身份材料进行现场核验。Nilsen 强调,公司不会因为俱乐部请求就从新上线安然性不足的 PuffPal,而是在与 9Series 终止合作后,筹划在将来几个月推出一款新的应用。他承诺,新体系将由自力安然研究人员进行审核,并在确认“百分之百安然”后才会从新投入应用。
发表评论 取消回复