Hoppa till innehåll
Nästan 985 000 identitetshandlingar kopplade till medlemmar i cannabisklubbar ska ha exponerats via offentligt tillgängliga webbadresser som varit kopplade till tjänsterna Cannabis Club Systems och PuffPal. Händelsen väcker allvarliga frågor om hur cannabisbranschen hanterar och skyddar känsliga personuppgifter.
Incidenten understryker också varför integritet och datasäkerhet är särskilt viktiga inom cannabisindustrin. När sådan information läcker riskerar konsekvenserna att sträcka sig långt bortom ekonomiska förluster. För de drabbade kan det påverka allt från anställning och immigrationsärenden till personligt anseende och juridiska risker.
Hur ofta röker en medlem i en lokal cannabisklubb? Hur ser konsumtionen ut för en turist? Vilka sorter föredrar de? Den typen av personliga uppgifter finns ofta lagrade i databaserna hos cannabisklubbar i Spanien och på andra håll i världen.
Som tur är ska denna information normalt skyddas av särskilda mjukvarusystem som är utformade för att hålla känsliga uppgifter säkra. Eller åtminstone är det så det borde fungera.
Den här veckan brast den säkerhetskedjan när ett av de mest använda systemen bland cannabisklubbar, Cannabis Club Systems, lämnade över 985 000 identitetshandlingar exponerade och lättillgängliga via offentliga webbadresser utan grundläggande skyddsmekanismer.
Även om händelsen beskrivs som ett tekniskt misstag väcker den större och mer obekväma frågor. Bland annat handlar det om hur väl förberedd cannabisbranschen egentligen är för att skydda en av de mest känsliga typerna av information som användare lämnar ifrån sig – sin identitet.
Vad var det som hände?
När du besöker en cannabisklubb – oavsett om du blir medlem eller bara registreras som besökare – är det vanligt att personalen samlar in personuppgifter av säkerhets- och identifieringsskäl. Det kan handla om en bild på ditt id-kort eller pass, din ålder, nationalitet, ditt namn och ett fotografi av ditt ansikte, bland annat.
Men vad händer med all denna information efter registreringen? Vem lagrar den? Var sparas dokumenten? Och vem har egentligen tillgång till dem?
Det är frågor som blivit högaktuella efter att säkerhetsforskaren Sammy Azdoufal avslöjat vad som verkar vara en allvarlig brist i ett av de system som används mest av cannabisklubbar.
Systemet i centrum för avslöjandet är Cannabis Club Systems (CCS), som är kopplat till det irländska företaget Nefos Solutions. CCS utvecklar mjukvara för cannabisklubbar och erbjuder bland annat verktyg för försäljning, bokföring, medlemsregistrering och identitetsverifiering.
Samma tekniska infrastruktur användes även av PuffPal, en app för QR-kodsbaserad inpassering och identitetskontroll där användare kunde ladda upp dokument och selfies för att verifiera sin identitet.
Enligt granskningen som publicerades av The Verge låg problemet i hur uppgifterna lagrades och exponerades. PuffPal var en del av den infrastruktur där sårbarheterna upptäcktes, men leverantören bakom systemet var Cannabis Club Systems och Nefos Solutions.
Filerna – däribland bilder på identitetshandlingar – låg tillgängliga via offentliga webbadresser med förutsägbara URL-strukturer, utan lösenord eller andra grundläggande åtkomstskydd.
Sammy Azdoufal är ingen nykomling när det gäller att avslöja säkerhetsbrister. Tidigare har han bland annat uppmärksammat hur självkörande städrobotar samlat in och skickat vidare känsliga personuppgifter, liksom säkerhetsproblem i kameror som föräldrar använder för att övervaka sina barn.
Nu riktade han blicken mot PuffPal och Cannabis Club Systems.
Vid sin analys upptäckte han att omkring 985 000 bilder på identitetshandlingar från medlemmar i cannabisklubbar låg lagrade på offentligt åtkomliga webbadresser utan lösenord eller fungerande åtkomstkontroller.
Det handlade inte bara om id-kort. Bland de exponerade filerna fanns bilder på pass, nationella identitetshandlingar, körkort, selfies och verifieringsbilder. Dessutom kunde uppgifter som telefonnummer, adresser, e-postadresser, preferenser kring cannabissorter samt information om besöks- och konsumtionsmönster på klubbarna exponeras.
All denna information låg öppet tillgänglig via offentliga webbadresser – inklusive uppgifter om kända personer, tiotusentals amerikanska medborgare och många andra som sannolikt inte är särskilt glada över att deras personliga information kunnat nås så enkelt.
I en sammanställning som publicerats av The Verge framgår omfattningen av systemet. Databasen innehöll över en miljon registrerade profiler, hundratusentals identitetshandlingar och passbilder, telefonnummer, e-postadresser, Firebase-användare samt meddelanden.
Översikten visar också att en betydande del av informationen kommer från cannabisklubbar i Spanien, framför allt i Barcelona och övriga Katalonien. Men även Italien, Frankrike och Sydafrika förekommer i materialet, med siffror som tyder på att stora mängder användardata även samlats in där.
De exponerade uppgifterna rörde inte enbart aktiva medlemmar. Databasen innehöll även information om tidigare medlemmar, besökare, anställda och professionella kontakter kopplade till verksamheterna.
Och omfattningen är kanske inte så förvånande med tanke på att företaget bakom systemet uppges samarbeta med mer än 800 cannabisklubbar runt om i världen.
Så exponerades uppgifterna
Enligt The Verge låg problemet i hur Nefos lagrade och exponerade informationen. Sammy Azdoufal upptäckte att dokumenten kunde nås via offentliga webbadresser med enkla och förutsägbara URL-strukturer.
Men problemen stannade inte där.
Han identifierade även en exponerad hemlig Stripe-nyckel i appen, användarprofiler som kunde nås genom att manipulera identifierare, en administratörsportal som inte var tillräckligt skyddad samt privata meddelanden mellan klubbar och användare som potentiellt kunde vara sårbara.
Med andra ord handlade det inte om en enskild fil som av misstag lämnats oskyddad. Säkerhetsbristerna tycks ha sträckt sig genom flera delar av systemet – från lagring av dokument och användarprofiler till API:er, betalningslösningar, administrationsverktyg och meddelandefunktioner.
Det som däremot fortfarande är oklart är om någon annan än forskaren faktiskt hann få tillgång till informationen.
Det finns i dagsläget inga bekräftade uppgifter om att databasen utnyttjats av obehöriga aktörer. Användarna kan därför ha haft tur i oturen om Sammy Azdoufal var den första som upptäckte bristerna och slog larm till företaget och berörda myndigheter innan någon med mer illvilliga avsikter hann göra det.
Dataläckor och ansvaret hos dem som lagrar våra uppgifter
The Verge kontaktade företaget bakom systemet, men enligt tidningen gav bolaget inledningsvis svar som inte fullt ut adresserade omfattningen av problemet. Efter avslöjandet stängdes PuffPal-appen ned tillsammans med flera av de API:er där sårbarheter identifierats.
Företaget uppgav att man informerat berörda myndigheter och tagit kontakt med den irländska dataskyddsmyndigheten. Andreas Nilsen, medgrundare till Nefos, sade till The Verge att företaget är skyldigt att rapportera incidenten enligt europeisk lagstiftning och att det kan bli aktuellt med sanktioner.
Enligt EU:s dataskyddsförordning, GDPR, måste vissa personuppgiftsincidenter rapporteras till ansvarig tillsynsmyndighet utan onödigt dröjsmål och, om möjligt, inom 72 timmar från det att organisationen blivit medveten om händelsen.
Nilsen uppgav också att en del av det tekniska ansvaret kan ligga hos ett externt företag som ska ha utvecklat PuffPal. Samtidigt betonade han att det yttersta ansvaret fortfarande vilar på Nefos.
Enligt rapporten har företaget dessutom lovat att inte återlansera appen förrän en oberoende säkerhetsgranskning genomförts.
I ett officiellt uttalande förklarade företaget att man informerats av en oberoende säkerhetsforskare om sårbarheter som påverkade PuffPal. Därefter ska en intern utredning ha inletts, tekniska åtgärder ha genomförts, externa specialister ha kopplats in och de berörda systemen ha granskats.
Bolaget uppgav också att PuffPal och de bakomliggande tjänsterna tillfälligt stängts ned i förebyggande syfte medan utredningen pågår. De identifierade åtkomstpunkterna ska enligt företaget inte längre vara tillgängliga.
Samtidigt motsätter sig Cannabis Club Systems beskrivningen att en bekräftad offentlig dataläcka faktiskt har ägt rum.
I sitt uttalande gör företaget en tydlig åtskillnad mellan att en sårbarhet existerar, att information potentiellt kunnat nås genom denna sårbarhet och att det finns verifierade bevis för att uppgifter faktiskt har hämtats ut, spridits eller offentliggjorts.
Enligt företaget har man hittills inte hittat några bekräftade bevis för att personuppgifter verkligen publicerats eller distribuerats offentligt. Däremot pågår fortfarande utredningen kring eventuell obehörig åtkomst till systemen.
Varför våra personuppgifter är så värdefulla
Konsumtionsvanor är en av grundpelarna i den moderna, reklamdrivna ekonomi vi lever i. Det är inte bara en åsikt – hela marknadsföringsbranschen bygger på att samla in, analysera och använda information om människors beteenden.
Även om det fortfarande är oklart om någon faktiskt kom åt de uppgifter som exponerades via en av de mest använda mjukvaruplattformarna för cannabisklubbar, finns det goda skäl till att sådan information betraktas som privat. När den läcker kan konsekvenserna bli omedelbara.
De flesta känner igen situationen. Vi laddar ner en app, registrerar oss på en myndighetssida eller fyller i personuppgifter när vi köper biljetter, bokar en skönhetsbehandling, hyr en cykel eller ansluter oss till en cannabisklubb. Namn, födelsedatum, personnummer, telefonnummer och betaluppgifter lämnas rutinmässigt ifrån oss.
På så sätt cirkulerar våra uppgifter ständigt på internet, vilket gör dem mer sårbara än många kanske inser.
Och informationen är värdefull. Rapporter från den svarta marknaden för stulna data visar att skannade identitetshandlingar, körkort, pass, inloggningsuppgifter, bankinformation och till och med selfies där personer håller upp sina id-handlingar kan säljas för tiotals, hundratals eller i vissa fall tusentals dollar. Priset varierar beroende på vilken typ av uppgifter det handlar om, vilket land personen kommer från och hur komplett informationspaketet är.
Det är därför knappast förvånande att oron kring dataläckor växer. Samtidigt ökar kraven på att företag som samlar in personuppgifter faktiskt ska kunna skydda dem. I det här fallet verkar säkerhetsbristerna ha varit fullt möjliga att förebygga.
Om någon får tillgång till ditt pass, telefonnummer eller din hemadress finns redan en risk för bedrägerier, identitetsstöld, nätfiske eller utpressning. Men om uppgifterna dessutom avslöjar att du har besökt en cannabisklubb, vilka produkter du använder, hur ofta du konsumerar eller i vilken stad du gjort det, blir problemet större än enbart ekonomiskt.
Då kan konsekvenserna även påverka arbetslivet, möjligheten att resa eller immigrera, familjesituationer, personligt anseende eller i vissa fall juridiska frågor.
I en bransch som fortfarande präglas av stigma, juridiska gråzoner och stora skillnader mellan olika länder är integritet inte någon lyx – det är en grundläggande säkerhetsfråga.
Många användare accepterar att lämna ifrån sig känsliga dokument eftersom systemen kräver det för att uppfylla regler kring ålder, medlemskap och spårbarhet. Men det förtroendet bygger på en enkel förutsättning: att företagen som samlar in uppgifterna också skyddar dem.
Fallet med Cannabis Club Systems belyser en konflikt som blir allt tydligare i takt med att cannabisindustrin växer. Branschen professionaliseras snabbt, digitaliserar sina medlems- och accessystem och använder appar, QR-koder, databaser och automatiserade register i allt större utsträckning.
Men om den tekniska infrastrukturen utvecklas snabbare än cybersäkerheten riskerar användarna att bli de som får betala priset.
Läs originalartikeln här!
