访问大麻俱乐部的应用 PuffPal 泄露了 100 万用户的护照信息PuffPal, an App for Accessing Cannabis Clubs, Leaked 1 Million Users’ Passports

在网络浏览器中输入几个字母和数字后，我发现自己正目瞪口呆地看着完全陌生人的身份证件。一位德国年轻女子的护照。一位西班牙男子的护照，眼镜推在头顶。另一位男子驾驶证的正反面，脸上带着滑稽的表情。

它们全都毫无保护地暴露在公开的 URL 下，没有任何密码或访问控制。如果我把链接发给你，你也能看到别人的护照。

“我们必须尽快采取行动，因为人们会发现这些数据并将其倒卖。这会造成损害，”Sammy Azdoufal 在五月告诉我。

Azdoufal 是一名安全研究员，他曾使用 Claude Code 协助发现每台 DJI Romo 扫地机器人和一百万台婴儿监视器及安防摄像头都极其容易被黑客攻破。这一次，他表示自己发现超过 985,000 张带照片的身份证件堂而皇之地暴露在公共互联网上，任何稍微有点本事的黑客都能将其窃取。

Azdoufal 表示，如果你曾去过西班牙的大麻俱乐部，你的照片证件很可能就在其中——而且可能还包括你的电话号码、地址、你最喜欢的大麻品种，以及你每个月在那里的消费量。Azdoufal 称，数据库里也有名人和来自世界各地的游客，其中包括 3 万名美国人。“里面有名人，”Azdoufal 说，“那些不希望所有人知道自己抽大麻的人。”

以下是 Azdoufal 的自动化工具所能看到的用户群体以及部分俱乐部名称的大致概要：

图片：Sammy Azdoufal

未能保护这些身份证件的并不是这些俱乐部。一家名为 Cannabis Club Systems (CCS) 的爱尔兰公司（原名为 Nefos Solutions）开发并提供了这些俱乐部用于销售、会计和准入的软件，其中包括一个验证系统，前台工作人员会将你的身份证件和自拍照上传到 Nefos 的云端。

按照传统，你每次想进入俱乐部都需要提供照片证件。但有了这个验证系统，前台可以调出你已存储的身份证件，检查你的面部是否匹配。此外还有一个名为 PuffPal 的可选应用程序，允许俱乐部扫描 QR 码以实现快速入场。

但 Azdoufal 在报告中解释说，当他反编译 PuffPal 应用程序时，他发现 Nefos 没有任何实质性的安全防护级别。他发现该应用程序内部以明文形式存放着 Stripe 支付平台的密钥。他还发现自己只需更改一个数字就能调出任何会员的个人资料。如果这些资料包含他们的电话号码、家庭住址、护照和大麻偏好，他现在也能随意访问这些信息。

随后，他发现那些护照、驾驶证和照片证件都被存储在公开的 URL 中，而且像这样简单：https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg

Azdoufal 告诉我，这些俱乐部每天都会使用这些不安全的 URL 上传 5,000 张新的照片证件。

他还发现了一个可以通过公共互联网访问的管理后台——而且这些大麻俱乐部自身账户的安全级别极低，使用的密码在现代 GPU 的算力下理论上几分钟就能被破解。俱乐部与会员之间通过 PuffPal 应用程序发送的私人聊天消息同样存在漏洞。

好消息是：在我们联系 Nefos 大约一个月后，该公司似乎终于采取了实质性行动。该公司表示，在修复完成之前，将关闭整个 PuffPal 系统及存在漏洞的 API——在 Azdoufal 于 6 月 10 日进行的最新测试中，护照图像和个人数据似乎是安全的。Nefos 还通知了当地有关部门，并表示将负责进行修复、缴纳罚款，并告知用户发生了什么。

在一次电话采访中，Nefos 联合创始人 Andreas Nilsen 告诉 The Verge，他正在就此次数据泄露事件与爱尔兰数据保护委员会（DPC）保持联系——DPC 发言人 Evan O'Leary 也通过电子邮件向我们证实了这一事实。“我们必须通知所有潜在受影响的人，”Nilsen 告诉我，并表示他希望 DPC 能指导他的公司如何妥善处理此事。Nilsen 声称，目前没有证据表明除 Azdoufal 之外有任何外部人员访问了这些数据。

但是，Nefos 花了太长时间才认真对待这一威胁。在 Azdoufal 联系他们很久之后，又过了五天，并且是在我们提出要曝光此事后，该公司才回复我们。随后，Nefos 起初只是试图掩盖漏洞，而不是冒着影响业务的风险去解决问题。

在 6 月初，当 Azdoufal 告诉我 Nefos 终于锁定了护照图像时，我正准备撰写这篇报道。但在 6 月 4 日，我向 Azdoufal 展示了他自己的护照再次毫无保护地出现在网上，这让他大吃一惊。

这是因为 Nefos 尚未阻止大麻俱乐部使用 PuffPal 应用，而且各俱乐部抱怨锁定的图像无法像以前那样正常显示——因此 Nefos 索性再次解锁了这些图像。虽然 Nilsen 声称，自从 Azdoufal 和我取得联系以来，这些图像“在 70% 的时间内”都处于锁定状态，但很明显，Nefos 做出了优先满足客户需求而非防范安全威胁的决定。

6 月 9 日，Azdoufal 发现，尽管 Nefos 已经使用 token 锁定了护照图像和带照片的身份证件，但用户个人资料中的其他所有内容仍然可以轻易访问：护照号码、电话号码、电子邮件地址、家庭住址，所有信息一览无余。

黑客只需在命令行中输入 `curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d "user_id=[NUMBER]&[CLUB NAME]=test&language=en"`，服务器就会轻易交出大量个人信息。在我们向 Nefos 指出这个问题后，该漏洞也被堵上了。

但这家公司怎么会如此粗心大意？“我不想把责任推给别人，因为归根结底责任在于我们，”Nilsen 说。但他确实将矛头指向了 9Series，他声称这家外包公司负责开发 PuffPal 应用，并创建了所有存在漏洞的 API，正是这些 API 被用于从 Nefos 的用户数据库中提取未受保护的数据。（截至发稿时，9Series 尚未作出回应。）

既然 PuffPal 已经关闭，Nefos 正在给每个俱乐部发送电子邮件，通知他们成员将无法再使用那些二维码进行入场——但在扫描成员的 RFID 卡或输入他们的电话号码等操作后，他们仍然可以从 Nefos 的服务器上调出身份证件。

Nilsen 声称，如果俱乐部提出要求，他的公司也不会简单地重新推出不安全的 PuffPal。“我们会告诉他们我们做不到，”他说。“在这次惨败之后，我们将确保由独立的安全研究员对此进行验证，并保证它是 100% 安全的。”他表示，Nefos 正在与 9Series 分道扬镳，并希望在几个月内推出一款新的应用。

尼尔森表示，他清楚根据欧盟法律，其公司依法必须在 72 小时内披露数据泄露事件，否则将面临巨额罚款，但公司并没有这样做。“我确信我们会受到相应的处罚，”尼尔森说道。

就在上个月，一个名为 UK Visa Portal 的网站同样将至少 10 万份护照信息暴露给了任何能猜中 URL 的人。希望这能敲响警钟。

关注本报道的相关主题和作者，以便在您的个性化主页信息流中看到更多类似内容，并接收电子邮件更新。