Tarayıcıma birkaç harf ve sayı yazdığımda, kendimi tamamen yabancıların kimlik belgelerine bakarken buldum. Genç bir kadına ait Alman pasaportu. Başında gözlük bulunan İspanyol bir erkeğin pasaportu. Diğer bir adamın sürücü belgesinin ön ve arka yüzü, tipik komik bir ifadeyle yüzüme karşı duruyor.
Hepsi, herhangi bir şifre ya da erişim kontrolü olmadan, kamuya açık URL’lerde korunmasız bir şekilde yer alıyordu. Size bir bağlantı gönderseydim, birinin pasaportuna erişebilirdiniz.
“Bununla ilgili hızlı bir şeyler yapmalıyız, çünkü insanlar bunu bulup satacaklar. Bu zarar verecek,” dedi Sammy Azdoufal, Mayıs ayında.
Azdoufal, Claude Code’u kullanarak, her DJI Romo robot elektrik süpürgesi ve bir milyon bebek monitörü ile güvenlik kamerasının hacklenmesinin son derece kolay olduğunu keşfeden güvenlik araştırmacısı. Bu sefer, kamu internetinde herhangi bir yetenekli korsanın çalması için açıkta bulunan 985,000’den fazla fotoğraf kimliğinin farkına vardı.
Eğer İspanya’da bir esrar kulübünü ziyaret ettiyseniz, Azdoufal, muhtemelen sizin de fotoğraf kimliğinizin onların arasında olduğuna inanıyor — ve muhtemelen telefon numaranız, adresiniz, favori esrar türleriniz ve oradaysanız her ay ne kadar tükettiğiniz gibi bilgileri de içerebilir. Azdoufal, ünlülerin de veritabanında bulunduğunu, ayrıca dünya genelinden 30,000 ziyaretçi olduğunu söylüyor. “Famous people” (Ünlü insanlar) diyor Azdoufal. “Herkesin esrar tükettiklerini bilmesini istemeyen insanlar.”
Azdoufal’ın otomatik aracının görebildiği kullanıcı verileri ve bazı kulüplerin isimleri hakkında kaba bir özet:
Bu kimlik belgelerini korumayan kulüpler değil. Cannabis Club Systems (CCS) adıyla bilinen İrlandalı bir şirket, bu kulüplerin satış, muhasebe ve kabul için kullandıkları yazılımları geliştiriyor ve sağlıyor. Bu sistemde, resepsiyonistler, kimlik belgelerinizi ve öz çekimlerinizi Nefos’un bulutuna yüklüyorlar.
Geleneksel olarak, bir kulübe girmek istediğinizde her seferinde bir kimlik belgesi sağlamanız gerekiyordu. Ancak doğrulama sistemiyle, resepsiyonist, kaydedilen kimlik belgelerinizi görebiliyor ve yüzünüzün eşleşip eşleşmediğini kontrol edebiliyor. Ayrıca, kulüplerin daha hızlı giriş için QR kodunu taradığı PuffPal adında bir uygulama seçeneği de var.
Ancak Azdoufal, PuffPal uygulamasını decompile ettiğinde, raporunda açıkladığı gibi, Nefos’un anlamlı bir güvenlik seviyesine sahip olmadığını keşfetti. Uygulama içinde açık metin halinde Stripe ödeme platformu için gizli bir anahtar buldu. Bir sayı değiştirerek herhangi bir üyenin profilini açabildiğini buldu. Eğer bu profiller telefon numarası, adres, pasaport ve esrar tercihlerine dair bilgileri içeriyorsa, şimdi bunlara da erişimi vardı.
Sonrasında, bu pasaportların, sürücü belgelerinin ve fotoğraf kimliklerinin şu kadar basit bir kamu URL’sinde depolandığını keşfetti: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
Azdoufal, o kulüplerin her gün 5,000 yeni fotoğraf kimliğini bu güvensiz URL’lerle yüklediklerini söyledi.
Ayrıca, kamu internete erişilebilen bir yönetici portalı buldu — ve esrar kulüplerinin kendi hesaplarında, modern bir GPU ile birkaç dakikada kırılabilecek kadar basit bir güvenlik seviyesi kullandıklarını gördü. PuffPal uygulaması aracılığıyla kulüpler ve üyeler arasındaki özel mesajlar da savunmasızdı.
İyi haber: Nefos’a ulaştıktan yaklaşık bir ay sonra, şirket nihayet anlamlı bir eylem almaya başladığını gösteriyor. Şirket, tüm PuffPal sistemini kapattığını ve güvenlik açığı olan API’lerini düzeltinceye kadar kapalı kalacağını söylüyor — Azdoufal’ın 10 Haziran tarihindeki son testlerinde, pasaport görüntüleri ve kişisel verilerin güvende göründüğünü belirtti. Nefos da yerel otoriteleri bilgilendirerek sorumluluğu üstleneceğini, düzeltmeler yapacağını ve kullanıcıları neler olduğunu bildireceğini söylüyor.
Bir telefon görüşmesinde, Nefos’un kurucu ortağı Andreas Nilsen, veri ihlali hakkında İrlanda Veri Koruma Otoritesi (DPC) ile iletişim halinde olduğunu belirtti — bu durumu DPC sözcüsü Evan O’Leary de e-posta ile doğruladı. “Potansiyel olarak etkilenmiş herkese iletişim kurmalıyız,” diyor Nilsen ve DPC’nin şirketine nasıl doğru şekilde iletişim kurabileceklerini gösterebileceğini umuyor. Nilsen, şu anda Azdoufal dışında kimsenin verilere eriştiğine dair bir kanıt olmadığını iddia ediyor.
Ancak Nefos’un tehdidi ciddiye alması çok fazla zaman aldı. Şirketin, Azdoufal’ın ulaşmasından çok sonra, beş gün sonra yanıt verdi. Ardından, Nefos, iş riskini almaktansa açıkları kapatmaya çalışarak başladı.
Haberleri yazmaya hazırlanıyordum, çünkü Azdoufal, Nefos’un nihayet pasaport görüntülerini kilitlediğini bildirmişti. Ancak 4 Haziran’da, Azdoufal’a kendi pasaportunun tekrar çevrimiçi olduğunu gösterdiğimde oldukça şaşırdım, üstelik hala korunmasız bir şekilde.
Bu, Nefos’un hâlâ esrar kulüplerinin PuffPal uygulamasını kullanmasını engellemediği için oldu ve kulüpler, kilitli görüntülerin daha önce olduğu gibi görünmediğinden şikayet ediyordu — bu yüzden Nefos, görüntüleri tekrar kilidini açtı. Nilsen, Azdoufal ve benimle iletişime geçtiklerinden bu yana görüntülerin “%70 oranında” kilitli olduğunu iddia etse de, Nefos’un tehditten çok müşterilerini öncelikli hale getirdiği oldukça açıktır.
9 Haziran’da, Azdoufal, Nefos’un pasaport görüntülerini ve fotoğraf kimliklerini tokenlarla kilitlemesine rağmen, kullanıcı profillerindeki her şeyin hâlâ kolayca erişilebilir olduğunu keşfetti: pasaport numaraları, telefon numaraları, e-posta adresleri, ev adresleri, her şey.
Bir korsanın yapması gereken tek şey, “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=[NUMARA]&[CLUB ADI]=test&language=en”” komutunu uygulama satırına yazmak ve sunucular, kişisel bilgileri serbestçe ifşa ediyordu. Bunu Nefos’un dikkatine sunduğumuzda, o açık da kapatıldı.
Ancak şirket neden bu kadar kayıtsız davranmış olabilir? “Suçlamayı başkalarına yönlendirmek istemiyorum çünkü nihayetinde sorumluluk bizde,” diyor Nilsen. Ancak, PuffPal uygulamasını geliştirmek ve Nefos’un kullanıcı veritabanından korumasız verileri çekmek için kullanılan tüm savunmasız API’leri oluşturmakla sorumluluğu üstlenen bir dış kaynak firması olan 9Series’e parmak basıyor. (9Series, yayın zamanı itibariyle bir yanıt vermedi.)
Artık PuffPal kapandığına göre, Nefos, her kulübe üye girişinde QR kodlarını kullanamayacaklarını bildiren bir e-posta gönderiyor — ancak Nefos’un sunucularından, üyelerin RFID kartlarını tarayarak veya telefon numaralarını yazarak kimliklerini çıkarabilmeleri için yöntemler mevcut.
Nilsen, kulüplerin daha önce güvenli olmayan PuffPal uygulamasını yeniden başlatamayacaklarını dile getiriyor. “Onlara bunu yapamayacağımızı söyleyeceğiz,” diyor. “Bu skandalın ardından bunun bir bağımsız güvenlik araştırmacısı tarafından doğrulanmasını sağlayacağız ve %100 güvenli olduğuna dair garanti edeceğiz.” Nefos’un 9Series ile yolları ayırdığını ve birkaç ay içinde yeni bir uygulama sahibi olmayı umduğunu belirtiyor.
Nilsen, EU yasaları gereği, şirketinin ihlali 72 saat içinde açıklamak zorunda olduğunu veya önemli cezalarla karşılaşabileceğini biliyor; bu durumu şirket açıklamadı. “Eminim, bize verilecek herhangi bir tür ceza alacağız,” diyor Nilsen.
Geçen ay, UK Visa Portal adlı bir web sitesi, en az 100,000 pasaportu internete sızdırarak benzer bir durumu yaşadı ve bu, sadece bir URL’yi tahmin edene açıktı. Umarım bu bir uyanma çağrısı olur.
