نزدیک به یک میلیون پاسپورت و شناسه عکس دار در اینترنت عمومی بدون محافظت باقی ماندند

با تایپ چند حرف و اعداد در مرورگر وب خود، متوجه می شوم که به شناسه افراد کاملا غریبه نگاه می کنم. پاسپورت یک زن جوان آلمانی. پاسپورت یک مرد اسپانیایی با عینک روی سرش. جلو و پشت گواهینامه مرد دیگری، با حالتی کلیشه ای احمقانه در چهره او.

همه آنها بدون محافظت در URL های عمومی، بدون هیچ گونه رمز عبور یا کنترل دسترسی قرار داشتند. اگر لینکی برای شما ارسال کرده بودم، می توانستید به پاسپورت یک نفر نگاه کنید.

سامی آزدوفال در ماه مه به من گفت: “ما باید هر چه سریعتر کاری انجام دهیم، زیرا مردم آن را پیدا کرده و دوباره آن را می فروشند. این کار ضرر خواهد کرد.”

Azdoufal محقق امنیتی است که با استفاده از Claude Code کشف کرد که هر ربات جاروبرقی DJI Romo و میلیون‌ها مانیتور کودک و دوربین‌های امنیتی به طرز شرم‌آوری به راحتی هک می‌شوند. این بار می‌گوید که بیش از 985000 شناسه عکس را در اینترنت عمومی کشف کرده است که هر هکر مناسبی می‌تواند آنها را بدزدد.

آزدوفال می‌گوید اگر از یک کلوپ حشیش در اسپانیا بازدید کرده‌اید، به احتمال زیاد شناسه عکس شما در میان آنها بوده است – و شاید شماره تلفن، آدرس، گونه‌های حشیش مورد علاقه‌تان و مقدار مصرفی که در هر ماه زمانی که آنجا بودید. آزدوفال می‌گوید که این پایگاه داده افراد مشهور و بازدیدکنندگانی از سراسر جهان از جمله 30000 نفر از ایالات متحده را نشان می‌دهد. عضدوفال می گوید: «آنها افراد مشهوری دارند. “افرادی که نمی خواهند همه بدانند علف هرز می کشند.”

در اینجا خلاصه‌ای از پایگاه کاربرانی که ابزار خودکار Azdoufal قادر به مشاهده آن بود و نام برخی از باشگاه‌ها آمده است:

این باشگاه ها نیستند که از این اسناد هویتی محافظت نمی کنند. یک شرکت ایرلندی به نام Cannabis Club Systems (CCS)، به طور رسمی Nefos Solutions، نرم‌افزار مورد استفاده این باشگاه‌ها را برای فروش، حسابداری و پذیرش، از جمله یک سیستم تأیید که در آن پذیرش‌کنندگان شناسه‌ها و سلفی‌های شما را در فضای ابری Nefos آپلود می‌کنند، توسعه داده و عرضه می‌کند.

به طور سنتی، هر زمان که می خواهید وارد یک باشگاه شوید، باید کارت شناسایی عکس دار ارائه دهید. اما با سیستم تأیید، پذیرش می‌تواند مدارک شناسایی ذخیره شده شما را بازیابی کند و بررسی کند که آیا چهره شما مطابقت دارد یا خیر. همچنین یک برنامه اختیاری به نام PuffPal وجود دارد که به باشگاه ها اجازه می دهد برای دسترسی سریع تر، یک کد QR را اسکن کنند.

اما زمانی که آزدوفال اپلیکیشن PuffPal را دیکامپایل کرد، او در گزارش خود توضیح می دهد، متوجه شد که Nefos فاقد سطح قابل توجهی از امنیت است. او یک کلید مخفی برای پلتفرم پرداخت Stripe کشف کرد که در داخل برنامه به صورت متن ساده وجود دارد. او متوجه شد که می تواند نمایه هر عضوی را به سادگی با تغییر یک شماره مشاهده کند. اگر این پروفایل ها شامل شماره تلفن، آدرس خانه، گذرنامه و اولویت های علف های هرز می شد، او اکنون می تواند به آنها نیز دسترسی داشته باشد.

و سپس، او متوجه شد که گذرنامه‌ها، گواهینامه‌های رانندگی، و شناسه‌های عکس در URLهای عمومی ساده مانند این ذخیره می‌شوند: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg

عضدوفال به من می گوید که آن باشگاه ها هر روز 5000 شناسه عکس جدید را با این URL های ناامن آپلود می کردند.

همچنین یک پورتال مدیریتی را پیدا کرد که از طریق اینترنت عمومی قابل دسترسی است، و کلوپ‌های شاهدانه از سطح امنیتی کمی در حساب‌های خود استفاده می‌کردند و از رمزهای عبور استفاده می‌کردند که از نظر تئوری می‌توانستند در عرض چند دقیقه با یک GPU مدرن شکسته شوند. پیام‌های چت خصوصی بین باشگاه‌ها و اعضا از طریق برنامه PuffPal نیز آسیب‌پذیر بودند.

خبر خوب: حدود یک ماه پس از تماس با Nefos، به نظر می رسد که این شرکت در نهایت اقدام معناداری انجام داده است. این شرکت می‌گوید که کل سیستم PuffPal و APIهای آسیب‌پذیر را تا زمانی که تعمیر شوند، خاموش می‌کند: در آخرین آزمایش‌های Azdoufal در 10 ژوئن، تصاویر پاسپورت و داده‌های شخصی امن به نظر می‌رسند. Nefos همچنین به مقامات محلی اطلاع داده است و می گوید که مسئولیت رفع آن، پرداخت جریمه ها و اطلاع دادن به کاربران از آنچه اتفاق افتاده را بر عهده خواهد گرفت.

در یک مصاحبه تلفنی، آندریاس نیلسن، یکی از بنیانگذاران Nefos می گوید حد که با سازمان حفاظت از داده های ایرلندی (DPC) در رابطه با نقض داده ها در تماس است، واقعیتی که سخنگوی DPC ایوان اولری از طریق ایمیل به ما تایید کرد. نیلسن به من می‌گوید: «ما باید با همه کسانی که به طور بالقوه در معرض قرار گرفته‌اند ارتباط برقرار کنیم، امیدواریم DPC بتواند به شرکتش نشان دهد که چگونه این کار را به درستی انجام دهد. نیلسن می‌گوید در حال حاضر هیچ مدرکی مبنی بر دسترسی افراد خارجی به داده‌ها به جز آزدوفال وجود ندارد.

اما نفوس برای جدی گرفتن این تهدید خیلی طول کشید. پنج روز طول کشید و تهدید یک داستان قبل از اینکه شرکت به ما بازگردد، مدتها پس از تماس آزدوفال با ما. بنابراین، Nefos با پوشاندن حفره ها به جای ریسک کردن تجارت شروع کرد.

اوایل ژوئن آماده نوشتن این داستان بودم، بعد از اینکه آزدوفال به من گفت که نفوس بالاخره تصاویر پاسپورت را مسدود کرده است. اما در 4 ژوئن من عضدوفال را غافلگیر کردم و به او نشان دادم که پاسپورتش دوباره آنلاین است، بدون هیچ گونه محافظتی.

به این دلیل که Nefos هنوز کلوپ‌های شاهدانه را از استفاده از برنامه PuffPal مسدود نکرده بود، و کلوپ‌ها شکایت داشتند که تصاویر مسدود شده مانند گذشته نمایش داده نمی‌شوند، بنابراین Nefos به سادگی دوباره تصاویر را از حالت انسداد خارج کرد. اگرچه نیلسن می‌گوید از زمانی که آزدوفال و من با هم تماس گرفتیم، تصاویر «70 درصد» مسدود شده‌اند، اما کاملاً واضح است که Nefos تصمیم گرفته است مشتریان خود را بر تهدید اولویت‌بندی کند.

در 9 ژوئن، آزدوفال متوجه شد که اگرچه نفوس تصاویر پاسپورت و شناسنامه های او را با توکن مسدود کرده است. همه چیز دیگر در نمایه های کاربر هنوز به راحتی قابل دسترسی بود: شماره پاسپورت، شماره تلفن، آدرس ایمیل، آدرس خانه، همه چیز.

تنها کاری که یک هکر باید انجام می داد این بود که تایپ “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=[NUMBER]&[CLUB NAME]=test&lingual=en” در یک خط فرمان، و سرورها آزادانه مجموعه‌ای از اطلاعات شخصی را ارائه می‌دهند. پس از اینکه ما این موضوع را به Nefos جلب کردیم، آن سوراخ نیز بسته شد.

اما چگونه ممکن است که شرکت تا این حد بی احتیاط باشد؟ نیلسن می‌گوید: «من نمی‌خواهم دیگران را سرزنش کنم، زیرا در نهایت تقصیر متوجه ماست. اما انگشت اتهام را به سوی 9Series، یک شرکت برون سپاری که ادعا می کند مسئول توسعه اپلیکیشن PuffPal و ایجاد تمام API های آسیب پذیر است که برای استخراج داده های محافظت نشده از پایگاه داده کاربران Nefos استفاده می شود، نشانه می رود. (سری 9 تا زمان انتشار پاسخی دریافت نکرد.)

اکنون که PuffPal در دسترس نیست، Nefos ایمیلی به همه باشگاه‌ها ارسال می‌کند تا به آنها اطلاع دهد که اعضای آن‌ها نمی‌توانند از آن کدهای QR برای ورود استفاده کنند، اما همچنان می‌توانند شناسه‌ها را پس از اسکن کارت RFID یک عضو یا تایپ شماره تلفن آنها، از جمله نمونه‌های دیگر، از سرورهای Nefos بازیابی کنند.

نیلسن می‌گوید اگر باشگاه‌ها بخواهند، شرکت او به سادگی PuffPal ناامن را راه‌اندازی نمی‌کند. او می گوید: «ما به آنها خواهیم گفت که نمی توانیم. ما مطمئن خواهیم شد، پس از این فاجعه، این موضوع توسط یک محقق امنیتی مستقل تایید شده و تضمین خواهیم کرد که 100٪ ایمن است.” او می گوید که Nefos راه خود را از سری 9 جدا می کند و امیدوار است تا چند ماه آینده یک برنامه جدید داشته باشد.

نیلسن می‌گوید او می‌دانست که طبق قوانین اتحادیه اروپا، شرکت او از نظر قانونی باید تخلف را ظرف 72 ساعت افشا می‌کرد یا جریمه‌های قابل توجهی را پرداخت می‌کرد، که شرکت موفق به انجام این کار نشد.. نیلسن می گوید: “من مطمئن هستم که هر نوع پنالتی را که بتوانیم دریافت خواهیم کرد.”

همین ماه گذشته، وب سایتی به نام پورتال ویزای بریتانیا به طور مشابه حداقل 100000 پاسپورت را در اختیار هر کسی که می توانست URL را حدس بزند، منتشر کرد. بیایید امیدوار باشیم که این زنگ بیداری باشد.