最近、セキュリティ研究者は、スペインの大麻クラブにソフトウェア サービスを提供する会社によって、985,000 近くのパスポート、運転免許証、その他の写真付き身分証明書および関連する個人情報が、ほとんど保護されずに公共のインターネット上に公開されたことを発見しました。平均的な技術スキルを持つハッカーなら誰でも簡単に入手できます。この一連のデータには、米国からの約 30,000 人の訪問者や著名人など、世界中のユーザーが含まれています。スペインなどの大麻クラブに登録されている彼らの身元情報、個人の自撮り写真、連絡先情報、消費習慣、その他の個人情報が密かに暴露された可能性がある。
この重大な欠陥は、セキュリティ研究者のサミー・アズドゥファル氏によって発見されました。彼は以前、いくつかの掃除機、ベビーモニター、監視カメラの重大なセキュリティ上の欠陥を明らかにしていました。同氏は、簡単なスクリプトスキャンを通じてインターネット上で98万5000枚以上の証明写真を発見したが、その大部分はスペインの大麻クラブ会員登録システムからのものだった、と述べた。これらのファイルは、パスワードやアクセス制御のない、非常にシンプルで予測可能なパブリック URL の下に保存されているため、リンク形式がわかっている限り、どのユーザーの ID 画像も表示できます。
大麻クラブ自体は関連システムを直接運用しておらず、代わりに、以前は Nefos Solutions として知られていた Cannabis Club Systems (CCS) と呼ばれるアイルランドの企業が提供するソフトウェアとクラウド サービスを使用しています。 CCS は、クラブ向けに販売、財務、および入場認証システムを提供しています。受付スタッフは、ユーザーのパスポートまたは ID の写真と自撮り写真を Nefos クラウドにアップロードし、将来的には素早い本人確認が可能になります。従来モデルでは、会員は入店の際に身分証明書の提示が必要だったが、このシステムではスタッフがクラウドデータを呼び出して比較できる。一部のクラブでは、PuffPal と呼ばれるモバイル アプリを使用して、QR コードをスキャンして入場プロセスを迅速化しています。
しかし、Azdoufal が PuffPal アプリケーションを逆コンパイルして分析したところ、Nefos の全体的なセキュリティ設計がほとんど役に立たないことがわかりました。 Stripe 決済プラットフォームへのキーがアプリ内に平文で埋め込まれているだけでなく、ユーザー プロファイル インターフェイスは単一の番号を変更するだけで、さまざまなメンバーの完全なプロファイルにアクセスできます。これには、電話番号、自宅の住所、パスポート情報、個人的な大麻消費の好みなどの機密データが含まれる場合があります。さらに深刻なのは、システムがトークンや許可の確認を行わずに証明写真を「https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg」のような公開アドレスに保存しており、各クラブが依然として毎日約 5,000 枚の新しい証明写真をこの方法でアップロードしていることです。
アズドゥファル氏はまた、クラブ向けの管理バックエンドもパブリック ネットワーク上に公開されており、クラブ アカウントに使用されている脆弱なパスワードは、最新の GPU でブルート フォースを使用して数分以内に解読できる可能性があることも発見しました。 PuffPal アプリを介したクラブと会員間のプライベート メッセージングも潜在的な漏洩リスクであることが判明しています。同氏の見解では、この「金庫の鍵全体を路上に投げ捨てる」行為により、意図的な攻撃者がこれらの機密性の高い個人情報データをまとめて盗み、転売することが可能となり、関係者に予測不可能な損害を与えることになる。
メディアの介入を受けて、ネフォスはついに具体的な行動を開始した。 6月10日のAzdoufalの最新のテスト結果によると、同社はPuffPalシステム全体とその脆弱なAPIを一時的に停止すると発表した。現在、パスポートの写真と個人データは強化されているようで、以前の方法では外部から直接アクセスできなくなりました。同社は、現地の規制当局に状況を通知し、問題を完全に修復し、罰金の責任を負うとともに、ユーザーにも事件について説明すると述べた。
Nefosの共同創設者であるアンドレアス・ニルセン氏はインタビューで、同社がデータ侵害についてアイルランドデータ保護委員会(DPC)に連絡したと述べ、DPCの広報担当者も電子メールでそれを確認したと述べた。ニルセン氏は「影響を受ける可能性のあるすべての人々に通知しなければならない」とし、企業がこの義務をどのように遵守できるかについてDPCが指針を示すことを期待していると述べた。同氏はまた、現時点ではアズドゥファル以外の部外者がデータにアクセスしたという証拠はないと主張した。
しかし、スケジュールから判断すると、この深刻なリスクに対するネフォスの対応は明らかに遅れました。アズドゥファル氏が積極的に同社に連絡を取った後、メディアがこの問題を報道する意向を示してから5日後まで、ネフォス社は実質的な反応を示さなかった。この期間、同社はセキュリティリスクのあるシステムを根本的に停止するのではなく、事業運営への影響を避けるために局所的な脆弱性を封じるための「パッチ」を当てていた。
さらに皮肉なのは、今年6月初旬、アズドゥファルがパスポートの写真がロックされているようだと記者団に伝えたとき、記者は思いがけず、アズドゥファルさん自身のパスポートの画像が再びオンラインで公開されていることを発見したことだ。その理由は、Nefos が一時的に画像へのアクセスを制限したものの、クラブによる PuffPal アプリの使用を直ちに停止しなかったためです。後者の顧客からは「画像の読み込みが以前ほど便利ではない」との苦情が寄せられ、ネフォスは再びアクセス制限を緩和することになった。ニルセン氏は、研究者やメディアとの会話中に画像が「約70パーセント」ブロックされたと主張したが、同社がユーザーのプライバシー保護と顧客エクスペリエンスの維持の間で明らかに後者を優先していたことが判明した。
6月9日、アズドゥファル氏は、ネフォスがパスポート画像などのファイルにアクセストークンを追加したにもかかわらず、ユーザープロファイルの他のデータがまだ「ストリーキング」していることを発見した。ハッカーは、コマンド ラインに「curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[番号]&[クラブ名]=test& language=en'」のようなリクエストを入力するだけで、パスポート番号、電話番号、電子メール アドレス、自宅住所などの完全な個人情報を取得できます。研究者やメディアから再度注意を受けた後、Nefos はこのインターフェースを完全にブロックしました。
疑惑に直面して、ニルセン氏は最終的な責任は会社にあることを認めたが、責任の一部をアウトソーシングチームに転嫁した。同氏は9Seriesと呼ばれるアウトソーシング会社の名前を挙げ、同社がPuffPalアプリケーションと関連APIの開発を担当しており、大量の保護されていないデータをNefosのユーザーデータベースからパブリックネットワークに直接転送できるようにしたのはこれらのインターフェースだったと述べた。この記事の執筆時点では、9Series はまだ応答していません。
現在、PuffPalが閉鎖されたため、Nefosは大麻クラブに対し、メンバーがQRコードを使用して入場できなくなることを電子メールで通知している。ただし、クラブは会員の RFID カードをスキャンするか電話番号を入力することで、Nefos サーバーから関連する ID 情報を呼び出してオンサイト認証を行うことができます。ニルセン氏は、クラブが要望したからといって、同社は安全性の低いPuffPalを再開するつもりはないが、9Seriesとの提携を終了した後、今後数カ月以内に新しいアプリを立ち上げる予定であると強調した。同氏は、新システムは独立したセキュリティ研究者による監査を受け、「100パーセント安全」であることが確認された場合にのみ使用を再開すると約束した。
欧州連合の一般データ保護規則 (GDPR) に基づき、企業はデータ侵害が発生したら 72 時間以内に規制当局に報告する必要があり、報告しない場合は高額の罰金が科せられる可能性があります。ニルセン氏はまた、同社が法定期限内に開示を完了しなかったため、「何らかの罰則の対象となるのは確実」であることも認めた。つい先月には、「UK Visa Portal」と呼ばれるウェブサイトも、少なくとも10万枚のパスポートと自撮り写真を推測可能なURLに公開し、世間の注目を集めた。業界関係者らは、同様の事件が累積しており、機密性の高い個人情報の取り扱いにおけるますます多くの企業の怠慢と近視眼性を暴露し、データセキュリティに改めて警鐘を鳴らしているのではないかと懸念している。