Ein Sicherheitsforscher hat kürzlich herausgefunden, dass fast 985.000 Pässe, Führerscheine und andere Lichtbildausweise sowie damit verbundene persönliche Informationen im öffentlichen Internet von einem Unternehmen, das Softwaredienste für spanische Cannabisclubs anbietet, nahezu ohne Schutz offengelegt wurden. Jeder Hacker mit durchschnittlichen technischen Fähigkeiten kann sie leicht erhalten. An diesem Datenpaket sind Nutzer aus der ganzen Welt beteiligt, darunter etwa 30.000 US-Besucher sowie einige Prominente. Ihre Identitätsinformationen, persönlichen Selfies, Kontaktinformationen, Konsumgewohnheiten und andere private Informationen, die in Cannabisclubs in Spanien und an anderen Orten registriert wurden, wurden möglicherweise stillschweigend preisgegeben.
Der kritische Fehler wurde vom Sicherheitsforscher Sammy Azdoufal entdeckt, der zuvor schwerwiegende Sicherheitsmängel in mehreren Kehrmaschinen, Babyphones und Überwachungskameras aufgedeckt hatte. Er sagte, dass er durch einen einfachen Skriptscan mehr als 985.000 Ausweisfotos im Internet entdeckt habe, von denen die überwiegende Mehrheit aus dem Registrierungssystem für Mitglieder von Cannabisclubs in Spanien stammte. Diese Dateien werden unter extrem einfachen, vorhersehbaren öffentlichen URLs ohne Passwörter oder Zugriffskontrollen gespeichert, sodass das ID-Bild jedes Benutzers angezeigt werden kann, solange das Linkformat bekannt ist.
Die Cannabis-Clubs selbst betreiben die entsprechenden Systeme nicht direkt, sondern nutzen Software und Cloud-Dienste eines irischen Unternehmens namens Cannabis Club Systems (CCS), früher bekannt als Nefos Solutions. CCS stellt Vertriebs-, Finanz- und Zulassungsverifizierungssysteme für Clubs bereit: Mitarbeiter an der Rezeption laden in Zukunft Pass- oder Ausweisfotos und Selfies der Benutzer zur schnellen Identitätsüberprüfung in die Nefos-Cloud hoch. Beim traditionellen Modell müssen die Mitglieder bei jedem Betreten des Ladens einen physischen Ausweis vorlegen, doch dieses System ermöglicht es den Mitarbeitern, Cloud-Daten zum Vergleich abzurufen. Einige Clubs nutzen auch eine mobile App namens PuffPal, um den Einlassvorgang durch das Scannen von QR-Codes zu beschleunigen.
Als Azdoufal jedoch die PuffPal-Anwendung dekompilierte und analysierte, stellte er fest, dass das gesamte Sicherheitsdesign von Nefos nahezu nutzlos war. Der Schlüssel zur Stripe-Zahlungsplattform ist nicht nur im Klartext in die App eingebettet, sondern die Benutzerprofiloberfläche muss auch nur eine einzige Nummer ändern, um auf das vollständige Profil verschiedener Mitglieder zuzugreifen, das sensible Daten wie Telefonnummern, Privatadressen, Passinformationen und persönliche Präferenzen für den Cannabiskonsum enthalten kann. Noch schlimmer ist, dass das System Ausweisfotos unter einer öffentlichen Adresse wie „https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg“ speichert, ohne dass ein Token oder eine Genehmigungsüberprüfung erforderlich ist, und Clubs auf diese Weise immer noch täglich etwa 5.000 neue Ausweisfotos hochladen.
Azdoufal entdeckte außerdem, dass im öffentlichen Netzwerk auch ein Management-Backend für Vereine offengelegt wurde und dass die schwachen Passwörter für Vereinskonten innerhalb von Minuten mit roher Gewalt auf modernen GPUs geknackt werden konnten. Private Nachrichten zwischen Clubs und Mitgliedern über die PuffPal-App haben sich ebenfalls als potenzielles Leckrisiko erwiesen. Seiner Ansicht nach ermöglicht diese Praxis, „die Schlüssel eines gesamten Tresors auf die Straße zu werfen“, es jedem vorsätzlichen Angreifer, diese hochsensiblen Identitätsdaten in großen Mengen zu stehlen und weiterzuverkaufen, was den betroffenen Parteien unvorhersehbaren Schaden zufügt.
Nach medialer Intervention begann Nefos schließlich, konkrete Maßnahmen zu ergreifen. Den neuesten Testergebnissen von Azdoufal vom 10. Juni zufolge hat das Unternehmen angekündigt, das gesamte PuffPal-System und seine anfällige API vorübergehend abzuschalten. Passbilder und persönliche Daten scheinen derzeit gehärtet zu sein und können mit den bisherigen Methoden nicht mehr direkt von der Außenwelt abgerufen werden. Das Unternehmen erklärte, dass es die örtlichen Aufsichtsbehörden über die Situation informiert habe, das Problem vollständig beheben werde, die Haftung für Bußgelder trage und den Nutzern den Vorfall erklären werde.
Nefos-Mitbegründer Andreas Nilsen sagte in einem Interview, dass das Unternehmen die irische Datenschutzkommission (DPC) wegen der Datenschutzverletzung kontaktiert habe, was auch von einem DPC-Sprecher per E-Mail bestätigt wurde. Nilsen sagte, sie „müssen alle potenziell betroffenen Personen benachrichtigen“ und hoffte, dass das DPC Hinweise dazu geben würde, wie Unternehmen dieser Verpflichtung nachkommen können. Er behauptete außerdem, dass es derzeit keine Beweise dafür gebe, dass andere Außenstehende als Azdoufal auf die Daten zugegriffen hätten.
Dem Zeitplan zufolge hat Nefos jedoch offensichtlich mit Verzögerung auf dieses ernste Risiko reagiert. Nachdem Azdoufal das Unternehmen proaktiv kontaktiert hatte, reagierte Nefos erst fünf Tage nach der Ankündigung der Medien, die Angelegenheit zu melden, substanziell. In dieser Zeit hat das Unternehmen eher „Patches“ durchgeführt, um lokale Schwachstellen zu schließen und so den Geschäftsbetrieb nicht zu beeinträchtigen, anstatt Systeme mit Sicherheitsrisiken grundsätzlich zu stoppen.
Noch ironischer ist es, dass Azdoufal Anfang Juni dieses Jahres, als er Reportern mitteilte, dass das Passfoto offenbar gesperrt worden sei, unerwartet feststellte, dass Azdoufals eigenes Passbild online wieder öffentlich sichtbar war. Der Grund dafür ist, dass Nefos den Bildzugriff zwar vorübergehend einschränkte, den Club jedoch nicht sofort daran hinderte, die PuffPal-App zu verwenden. Kunden von Letzterem beschwerten sich darüber, dass „das Laden von Bildern nicht mehr so komfortabel ist wie zuvor“, was Nefos dazu veranlasste, die Zugriffsbeschränkungen erneut zu lockern. Nilsen argumentierte, dass die Bilder während ihrer Gespräche mit Forschern und den Medien in „70 Prozent der Fälle“ blockiert wurden, aber es stellte sich heraus, dass das Unternehmen eindeutig Letzteres bevorzugte, da es die Privatsphäre der Benutzer schützte und das Kundenerlebnis aufrechterhielt.
Am 9. Juni entdeckte Azdoufal, dass Nefos zwar Zugriffstokens für Dateien wie Passbilder hinzugefügt hatte, andere Daten im Benutzerprofil jedoch immer noch „verschlissen“ waren. Ein Hacker muss lediglich eine Anfrage wie „curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[Nummer]&[Clubname]=test&sprache=en'“ in die Befehlszeile eingeben, um einen vollständigen Satz persönlicher Informationen einschließlich Passnummer, Telefonnummer, E-Mail-Adresse und Privatadresse zu erhalten. Nach erneutem Hinweis von Forschern und Medien blockierte Nefos diese Schnittstelle vollständig.
Angesichts der Zweifel gab Nilsen zu, dass die letztendliche Verantwortung beim Unternehmen liege, schob aber auch einen Teil der Schuld auf das Outsourcing-Team. Er nannte ein Outsourcing-Unternehmen namens 9Series und sagte, es sei für die Entwicklung der PuffPal-Anwendung und der zugehörigen APIs verantwortlich. Diese Schnittstellen ermöglichten die direkte Übertragung einer großen Menge ungeschützter Daten aus der Benutzerdatenbank von Nefos in das öffentliche Netzwerk. Zum Zeitpunkt der Drucklegung hat 9Series noch nicht reagiert.
Jetzt, da PuffPal geschlossen wird, benachrichtigt Nefos Cannabis-Clubs per E-Mail, dass ihre Mitglieder keine QR-Codes mehr für den Zutritt verwenden können. Der Club kann jedoch weiterhin relevante Identitätsinformationen vom Nefos-Server zur Überprüfung vor Ort abrufen, indem er die RFID-Karte des Mitglieds scannt oder die Telefonnummer eingibt. Nilsen betonte, dass das Unternehmen das unsichere PuffPal nicht nur auf Wunsch von Vereinen neu starten werde, sondern plane, in den kommenden Monaten nach Beendigung der Partnerschaft mit 9Series eine neue App auf den Markt zu bringen. Er versprach, dass das neue System von unabhängigen Sicherheitsforschern geprüft und erst dann wieder in Betrieb genommen werde, wenn bestätigt sei, dass es „100 Prozent sicher“ sei.
Gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union müssen Unternehmen eine Datenschutzverletzung innerhalb von 72 Stunden nach ihrem Auftreten den Aufsichtsbehörden melden, andernfalls riskieren sie hohe Geldstrafen. Nilsen räumte außerdem ein, dass das Unternehmen die Offenlegung nicht innerhalb der gesetzlichen Frist abgeschlossen habe und daher „sicherlich mit einer Strafe rechnen muss“. Erst letzten Monat erregte auch eine Website namens „UK Visa Portal“ öffentliche Aufmerksamkeit, weil sie mindestens 100.000 Pässe und Selfies unter errätbaren URLs offenlegte. Brancheninsider befürchten, dass sich ähnliche Vorfälle häufen, was die Nachlässigkeit und Kurzsichtigkeit immer mehr Unternehmen im Umgang mit hochsensiblen Identitätsinformationen offenlegt und erneut Alarm in Bezug auf die Datensicherheit schlägt.