Quase um milhão de documentos de identidade, incluindo passaportes e carteiras de motorista, estiveram vulneráveis e expostos publicamente na internet. A descoberta foi feita pelo pesquisador de segurança Sammy Azdoufal, que identificou falhas graves em sistemas usados por clubes de cannabis na Europa e demais localidades.
Diante dessa revelação, fica claro que a segurança de dados ainda é um ponto crítico a ser melhorado com urgência. O caso evidenciou como documentos sensíveis podem ser facilmente acessados por qualquer pessoa, colocando usuários em risco de fraude e exposição indevida.
Documentos pessoais expostos sem nenhum bloqueio
O pesquisador Azdoufal notou que fotos de passaportes, carteiras de motorista e outros documentos estavam disponíveis em URLs públicos, acessíveis sem necessidade de senha ou autenticação. Essa brecha permitia que qualquer pessoa visualizasse as informações apenas digitando combinações simples de números e letras.
Entre os documentos expostos, havia identidade de usuários de clubes de cannabis, incluindo dados como nome, telefone, endereço, preferências pessoais e até perfis mensais de consumo. Informações sensíveis de celebridades também estavam na base, o que demonstra o alcance internacional e o potencial dano do vazamento.
Vulnerabilidades no sistema da Cannabis Club Systems
A falha não foi diretamente culpa dos clubes que armazenavam os documentos, mas da empresa irlandesa Cannabis Club Systems (CCS), anteriormente conhecida como Nefos Solutions. Ela desenvolve o software que gerencia vendas, contabilidade e controle de acesso para os clubes, incluindo a verificação de documentos carregados na nuvem da empresa.
O sistema oferecia uma facilidade: a recepção podia conferir documentos e selfies armazenados para admitir membros sem solicitar o ID toda vez. O app PuffPal, que usa QR codes para entrada rápida, também estava conectado a essa base, permitindo acesso via APIs que não tinham proteção adequada.
Exploração fácil e falhas reveladas após análise
Utilizando engenharia reversa no app PuffPal, Azdoufal descobriu que as chaves de acesso estavam gravadas em texto simples. Ele conseguiu acessar perfis de usuários apenas alterando pequenos parâmetros em requisições públicas, conseguindo dados completos, como números de passaporte, emails e até o histórico detalhado de consumo dos clientes.
Além disso, existia um portal administrativo exposado na internet, com senhas fracas que poderiam ser quebradas rapidamente por ataques com GPUs modernas. Mensagens trocadas entre clubes e membros pelo app também ficavam vulneráveis a invasões.
Resposta da empresa e medidas tomadas após o alerta
Após contato com o EventiOZ e o pesquisador, a Cannabis Club Systems começou a agir e, cerca de um mês depois, anunciou a suspensão do sistema PuffPal e das APIs vulneráveis. Testes recentes indicam que os documentos de identidade não estão mais acessíveis publicamente.
O cofundador da empresa, Andreas Nilsen, declarou que está cooperando com a Autoridade de Proteção de Dados da Irlanda e que notificará os usuários afetados. A empresa também prometeu assumir as responsabilidades legais, pagar multas e corrigir as falhas detectadas.
Vale a pena ficar atento à segurança dos dados pessoais
Este episódio reforça a importância da segurança digital, especialmente em serviços que armazenam dados sensíveis. A negligência pode expor pessoas a golpes, fraudes e invasões de privacidade. O caso também aponta para desafios do mercado tecnológico em garantir sistemas robustos, como já visto em outras situações recentes.
Enquanto a Cannabis Club Systems trabalha na reformulação de seus sistemas, o evento serve de alerta para usuários sobre a proteção de suas informações pessoais ao utilizar serviços digitais modernos.
Para quem acompanha o setor de tecnologia, notícias como o lançamento de um novo Siri AI que responde de forma objetiva ou o anúncio da BlueSky sobre comunidades descentralizadas mostram como o mercado está em rápida transformação, mas também destacado a necessidade de priorizar a segurança.
