Közel egymillió útlevél és személyi igazolvány került nyilvánosan az internetre egy kannabiszos adatbotrányban
Súlyos adatvédelmi incidensre derült fény egy nemzetközi kannabiszklubokat kiszolgáló informatikai rendszerben: közel egymillió útlevél, személyi igazolvány és jogosítvány másolata vált bárki számára elérhetővé az interneten. A biztonsági hibát egy kutató fedezte fel, aki szerint az adatokhoz gyakorlatilag semmilyen védelem nem tartozott.
Egy egyszerű link is elég volt
A The Verge beszámolója szerint az ír székhelyű Cannabis Club Systems (CCS), korábbi nevén Nefos Solutions olyan szoftvereket fejleszt, amelyeket főként spanyolországi kannabiszklubok használnak tagságkezelésre, beléptetésre és adminisztrációra. A rendszer részeként a klubok gyakran feltöltik a tagok személyazonosító okmányait, hogy a későbbi beléptetés gyorsabb legyen.
A biztonsági kutató, Sammy Azdoufal azonban arra jutott, hogy ezek a dokumentumok nyilvános internetes címeken voltak tárolva. Nem kellett sem jelszó, sem különleges hozzáférés: aki ismerte a megfelelő URL-szerkezetet, megtekinthette mások útleveleit és személyes adatait.
Több tízezer amerikai és számos európai érintett
A kutató szerint több mint 985 ezer dokumentum volt elérhető, köztük útlevelek, jogosítványok és egyéb fényképes igazolványok. Az adatbázisban nemcsak európai felhasználók szerepeltek, hanem mintegy 30 ezer amerikai állampolgár adatai is. Az okmányokon túl telefonszámok, lakcímek, e-mail-címek, valamint egyes esetekben a felhasználók kannabiszfogyasztási szokásai is hozzáférhetők voltak.
A szakértő szerint különösen érzékeny adatokról van szó, hiszen sok érintett nem szeretné nyilvánosságra hozni, hogy kannabiszklub tagja. A kiszivárgott információk így akár zsarolásra, személyazonosság-lopásra vagy célzott adathalász támadásokra is alkalmasak lehetnek.
Több biztonsági hiba is napvilágra került
A probléma nem merült ki az okmányképek nyilvánosságában. Azdoufal szerint a PuffPal nevű mobilalkalmazásban egy fizetési rendszerhez tartozó titkos kulcs is olvasható volt, ráadásul a felhasználói profilokhoz is hozzá lehetett férni egyszerű azonosítók módosításával. A kutató olyan adminisztrációs felületeket is talált, amelyek nem rendelkeztek megfelelő védelemmel.
Mindez arra utal, hogy a rendszer több ponton sem felelt meg az alapvető informatikai biztonsági elvárásoknak.
Lassú reakció a szolgáltató részéről
A The Verge szerint a kutató már hetekkel korábban figyelmeztette a céget, azonban a probléma elhárítása lassan haladt. A vállalat először lezárta az érintett dokumentumokat, majd később ismét hozzáférhetővé tette őket, mert a klubok működését zavarta a korlátozás. Csak a sajtó érdeklődése és az újabb figyelmeztetések után kezdődött meg a rendszer érdemi lezárása.
A cég társalapítója, Andreas Nilsen végül elismerte a felelősséget, és közölte, hogy együttműködnek az ír adatvédelmi hatósággal. A vállalat szerint jelenleg nincs bizonyíték arra, hogy a kutatón kívül más is hozzáfért volna az adatokhoz, ezt azonban függetlenül egyelőre nem sikerült megerősíteni.
GDPR-vizsgálat és bírság is jöhet
Az ügy különösen érzékeny az Európai Unió adatvédelmi szabályai miatt. A GDPR előírja, hogy az adatkezelőknek rövid időn belül jelenteniük kell az ilyen incidenseket a hatóságoknak és az érintetteknek. A cég vezetője maga is elismerte, hogy valószínűleg számíthatnak büntetésre az eset miatt.
Az incidens ismét rámutat arra, hogy a személyes adatok védelme nemcsak a nagy technológiai vállalatok, hanem a kisebb, speciális szolgáltatók esetében is kiemelt fontosságú. Egyetlen rosszul konfigurált rendszer elegendő lehet ahhoz, hogy több százezer ember legérzékenyebb dokumentumai kerüljenek nyilvánosságra.
Kép forrása: Pixabay - Merry christmas, Boarding pass
Forrás: Nearly a million passports and photo IDs were left unprotected on the public internet
Kapcsolódó cikkek
