اكتشف باحث أمني مؤخرًا أن ما يقرب من 985000 جواز سفر ورخصة قيادة ومعرفات صور أخرى ومعلومات شخصية ذات صلة قد تم الكشف عنها على الإنترنت العام بدون أي حماية تقريبًا من قبل شركة تقدم خدمات برمجية لنوادي القنب الإسبانية. يمكن لأي متسلل يتمتع بمهارات تقنية متوسطة الحصول عليها بسهولة. وتشمل هذه المجموعة من البيانات مستخدمين من جميع أنحاء العالم، بما في ذلك حوالي 30 ألف زائر أمريكي، بالإضافة إلى بعض المشاهير. ربما تم الكشف بهدوء عن معلومات هويتهم وصورهم الشخصية ومعلومات الاتصال وعادات الاستهلاك وغيرها من المعلومات الخاصة المسجلة في نوادي القنب في إسبانيا وأماكن أخرى.
تم اكتشاف الخلل الخطير من قبل الباحث الأمني سامي أزدوفال، الذي سبق أن كشف عن عيوب أمنية خطيرة في العديد من المكانس وأجهزة مراقبة الأطفال والكاميرات الأمنية. وقال إنه من خلال مسح بسيط للنص، اكتشف أكثر من 985 ألف صورة هوية على الإنترنت، وجاءت الغالبية العظمى منها من نظام تسجيل عضوية نادي القنب في إسبانيا. يتم تخزين هذه الملفات تحت عناوين URL عامة بسيطة للغاية ويمكن التنبؤ بها دون أي كلمات مرور أو عناصر تحكم في الوصول، مما يسمح بعرض صورة معرف أي مستخدم طالما أن تنسيق الرابط معروف.
لا تقوم نوادي القنب نفسها بتشغيل الأنظمة ذات الصلة بشكل مباشر، ولكنها تستخدم بدلاً من ذلك البرامج والخدمات السحابية التي تقدمها شركة أيرلندية تدعى Cannabis Club Systems (CCS)، والمعروفة سابقًا باسم Nefos Solutions. توفر CCS أنظمة التحقق من المبيعات والتمويل والقبول للأندية: سيقوم موظفو الاستقبال بتحميل جوازات السفر أو صور الهوية وصور شخصية للمستخدمين إلى سحابة Nefos للتحقق السريع من الهوية في المستقبل. في النموذج التقليدي، يتعين على الأعضاء تقديم معرفات فعلية في كل مرة يدخلون فيها إلى المتجر، لكن هذا النظام يسمح للموظفين باستدعاء البيانات السحابية للمقارنة. تستخدم بعض الأندية أيضًا تطبيقًا للهاتف المحمول يسمى PuffPal لتسريع عملية القبول عن طريق مسح رموز QR ضوئيًا.
ومع ذلك، عندما قام أزدوفال بتفكيك تطبيق PuffPal وتحليله، وجد أن التصميم الأمني الشامل لـ Nefos كان عديم الفائدة تقريبًا. لا يقتصر الأمر على تضمين مفتاح منصة الدفع Stripe في نص واضح داخل التطبيق فحسب، بل تحتاج واجهة ملف تعريف المستخدم فقط إلى تعديل رقم واحد للوصول إلى الملف الشخصي الكامل للأعضاء المختلفين، والذي قد يتضمن بيانات حساسة مثل أرقام الهواتف وعناوين المنازل ومعلومات جواز السفر والتفضيلات الشخصية لاستهلاك القنب. الأمر الأكثر خطورة هو أن النظام يحفظ صور الهوية على عنوان عام مثل "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg" دون أي رمز مميز أو تحقق من الإذن، ولا تزال الأندية تقوم بتحميل حوالي 5000 صورة هوية جديدة بهذه الطريقة كل يوم.
اكتشف أزدوفال أيضًا أنه تم أيضًا الكشف عن الواجهة الخلفية للإدارة التي تواجه النادي على الشبكة العامة، وأن كلمات المرور الضعيفة المستخدمة لحسابات النادي يمكن اختراقها في غضون دقائق باستخدام القوة الغاشمة على وحدات معالجة الرسومات الحديثة. أثبتت أيضًا الرسائل الخاصة بين الأندية والأعضاء عبر تطبيق PuffPal أنها تمثل خطر تسرب محتمل. ومن وجهة نظره، فإن هذه الممارسة المتمثلة في "رمي مفاتيح قبو بالكامل في الشارع" تسمح لأي مهاجم متعمد بسرقة وإعادة بيع بيانات الهوية الحساسة للغاية هذه على دفعات، مما يتسبب في أضرار لا يمكن التنبؤ بها للأطراف المعنية.
وبعد تدخل وسائل الإعلام، بدأت نيفوس أخيرًا في اتخاذ إجراءات ملموسة. وفقًا لأحدث نتائج اختبار Azdoufal في 10 يونيو، أعلنت الشركة أنها ستغلق مؤقتًا نظام PuffPal بالكامل وواجهة برمجة التطبيقات الضعيفة الخاصة به. يبدو أن صور جواز السفر والبيانات الشخصية قد تم تشديدها حاليًا ولم يعد من الممكن الوصول إليها مباشرة من قبل العالم الخارجي من خلال الطرق السابقة. وذكرت الشركة أنها أخطرت الهيئات التنظيمية المحلية بالموقف، وسوف تقوم بإصلاح المشكلة بالكامل وتتحمل مسؤولية الغرامات، كما ستشرح الحادث للمستخدمين.
قال أندرياس نيلسن، المؤسس المشارك لشركة Nefos، في مقابلة إن الشركة اتصلت بلجنة حماية البيانات الأيرلندية (DPC) بشأن خرق البيانات، وهو ما أكده أيضًا المتحدث باسم DPC عبر البريد الإلكتروني. وقال نيلسن إنه "يجب عليهم تقديم إشعار لجميع الأشخاص المحتمل تأثرهم" وأعرب عن أمله في أن تقدم DPC إرشادات حول كيفية امتثال الشركات لهذا الالتزام. وادعى أيضًا أنه لا يوجد حاليًا أي دليل على أن جهات خارجية غير أزدوفال قد وصلت إلى البيانات.
ومع ذلك، انطلاقًا من الجدول الزمني، من الواضح أن استجابة نيفوس لهذا الخطر الجسيم قد تأخرت. وبعد أن اتصلت شركة أزدوفال بشكل استباقي بالشركة، لم تقدم شركة نيفوس أي رد جوهري إلا بعد خمسة أيام من إشارة وسائل الإعلام إلى أنها ستبلغ عن الأمر. خلال هذه الفترة، قامت الشركة بالمزيد من "التصحيح" لإغلاق نقاط الضعف المحلية لتجنب التأثير على العمليات التجارية، بدلاً من إيقاف الأنظمة بشكل أساسي مع المخاطر الأمنية.
الأمر الأكثر إثارة للسخرية هو أنه في أوائل يونيو من هذا العام، عندما أبلغ أزدوفال الصحفيين أن صورة جواز السفر تبدو مقفلة، اكتشف المراسل بشكل غير متوقع أن صورة جواز سفر أزدوفال أصبحت مرئية للعامة على الإنترنت مرة أخرى. والسبب هو أنه على الرغم من قيام Nefos بتقييد الوصول إلى الصور مؤقتًا، إلا أنه لم يمنع النادي على الفور من استخدام تطبيق PuffPal. اشتكى عملاء الأخير من أن "تحميل الصور لم يعد مناسبًا كما كان من قبل"، مما دفع Nefos إلى تخفيف قيود الوصول مرة أخرى. وجادل نيلسن بأن الصور تم حظرها حوالي "70 بالمائة من الوقت" خلال محادثاتهم مع الباحثين ووسائل الإعلام، لكن اتضح أن الشركة فضلت الأخيرة بوضوح بين حماية خصوصية المستخدم والحفاظ على تجربة العملاء.
في 9 يونيو، اكتشف أزدوفال أنه على الرغم من أن Nefos قد أضاف رموز وصول لملفات مثل صور جواز السفر، إلا أن البيانات الأخرى في ملف تعريف المستخدم لا تزال "متقطعة". يحتاج المتسلل فقط إلى إدخال طلب مثل "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[number]&[club name]=test&language=en'" في سطر الأوامر للحصول على مجموعة كاملة من المعلومات الشخصية بما في ذلك رقم جواز السفر ورقم الهاتف وعنوان البريد الإلكتروني وعنوان المنزل. وبعد تذكير الباحثين ووسائل الإعلام مرة أخرى، قام Nefos بحجب هذه الواجهة تمامًا.
وفي مواجهة الشكوك، اعترف نيلسن بأن المسؤولية النهائية تقع على عاتق الشركة، لكنه نقل أيضًا جزءًا من اللوم إلى فريق الاستعانة بمصادر خارجية. قام بتسمية شركة الاستعانة بمصادر خارجية تسمى 9Series، قائلاً إنها كانت مسؤولة عن تطوير تطبيق PuffPal وواجهات برمجة التطبيقات ذات الصلة، وهذه الواجهات هي التي سمحت بنقل كمية كبيرة من البيانات غير المحمية مباشرة من قاعدة بيانات مستخدم Nefos إلى الشبكة العامة. وحتى وقت كتابة المقالة، لم ترد 9Series بعد.
الآن، مع إغلاق PuffPal، تقوم Nefos بإخطار نوادي القنب عبر البريد الإلكتروني بأن أعضائها لن يتمكنوا بعد الآن من استخدام رموز QR للدخول. ومع ذلك، لا يزال بإمكان النادي الاتصال بمعلومات الهوية ذات الصلة من خادم Nefos للتحقق في الموقع عن طريق مسح بطاقة RFID الخاصة بالعضو أو إدخال رقم الهاتف. وشدد نيلسن على أن الشركة لن تعيد إطلاق تطبيق PuffPal غير الآمن لمجرد أن الأندية طلبت ذلك، لكنها تخطط لإطلاق تطبيق جديد في الأشهر المقبلة بعد إنهاء شراكتها مع 9Series. ووعد بأن النظام الجديد سيتم تدقيقه من قبل باحثين أمنيين مستقلين ولن يتم إعادته للاستخدام إلا بعد التأكد من أنه "آمن بنسبة 100 بالمائة".
وبموجب اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي، يجب على الشركات الإبلاغ عن خرق البيانات إلى المنظمين في غضون 72 ساعة من حدوثه أو المخاطرة بغرامات باهظة. واعترف نيلسن أيضًا بأن الشركة لم تكمل الكشف خلال المهلة القانونية وبالتالي "ستخضع بالتأكيد لشكل من أشكال العقوبة". في الشهر الماضي فقط، اجتذب موقع على شبكة الإنترنت يسمى "UK Visa Portal" أيضًا اهتمام الجمهور لأنه كشف ما لا يقل عن 100000 جواز سفر وصور ذاتية لعناوين URL يمكن تخمينها. ويشعر المطلعون على الصناعة بالقلق من تراكم حوادث مماثلة، مما يكشف إهمال وقصر نظر المزيد والمزيد من الشركات في التعامل مع معلومات الهوية الحساسة للغاية، ويدق ناقوس الخطر مرة أخرى بشأن أمن البيانات.