近百万份各国护照和身份证明在互联网上被曝光 - 安全 (opens in new tab)

这些大麻俱乐部本身并不直接运营相关系统，而是使用一家名为 Cannabis Club Systems（CCS）的爱尔兰公司提供的软件和云服务，该公司此前也名为 Nefos Solutions。CCS 为俱乐部提供销售、财务以及入场验证系统：接待人员会将用户护照或身份证照片以及自拍上传到 Nefos 的云端，以便日后快速核验身份。在传统模式下，会员每次进店都要出示实体证件，而该系统则允许工作人员通过调出云端资料进行比对，部分俱乐部还配套使用名为 PuffPal 的手机应用，通过扫描二维码加快入场流程。然而，当 Azdoufal 对 PuffPal 应用进行反编译分析时，他发现 Nefos 的整体安全设计几乎形同虚设。应用内不仅以明文形式嵌入了 Stripe 支付平台的密钥，用户资料接口也只需修改一个数字就能访问到不同会员的完整档案，其中可能包括电话号码、家庭住址、护照信息以及个人大麻消费偏好等敏感数据。更严重的是，系统将身份证件照片保存在类似 “ 的公开地址上，没有任何令牌或权限校验，而各俱乐部每天仍在以这样的方式上传约 5000 张新证件照。Azdoufal 还发现，一个面向俱乐...