Quasi un milione di documenti di identit�, passaporti e patenti di guida, � rimasto accessibile senza alcuna protezione su URL pubblici, gestiti da Nefos Solutions (gi� Cannabis Club Systems), azienda irlandese che fornisce software gestionale ai club cannabis europei. La violazione � stata scoperta dal ricercatore di sicurezza Sammy Azdoufal decompilando PuffPal, l'app opzionale di Nefos per la gestione degli accessi ai club. Il punto di partenza � stato PuffPal stesso: nella decompilazione, Azdoufal ha trovato una secret key di Stripe in chiaro all'interno del codice dell'app. L'indagine ha portato alla superficie una catena di vulnerabilit�. I documenti di identit� caricati dagli utenti erano raggiungibili tramite URL con una struttura banale senza che vi fosse nessun tipo di autenticazione richiesta per l'accesso. Al ritmo di 5.000 nuovi documenti caricati al giorno, la base esposta cresceva costantemente. Vulnerabilit� a cascata L'accesso ai passaporti era solo la parte visibile, e ancor pi� problematico � il fatto che tutti i dati del profilo utente erano recuperabili con un semplice comando curl strutturato in modo tale da contenere, tra gli argomenti, l'ID relativo al profilo di ciascun iscritto. Semplicemenre modificando il numero dell'ID si poteva accedere a numeri di passaporto, numeri di telefono, indirizzi email, indirizzi di casa, preferenze di consumo di cannabis di tutti gli iscritti. I joined a weed club in Barcelona. They handed me an app and said "it's more convenient." By sunrise I was looking at 1,082,680 strangers' passports. Convenient indeed. Thread🧵 pic.twitter.com/wDRUU0IdW0— Sammy Azdoufal (@n0tsa) June 10, 2026 L'admin portal di Nefos era accessibile via Internet pubblico, i club usavano password deboli teoricamente violabili in pochi minuti con una GPU moderna, e i messaggi privati tra club e utenti attraverso PuffPal erano anch'essi vulnerabili. La responsabilit� dello sviluppo di PuffPal e delle API difettose ricade su 9Series, la ditta di outsourcing a cui Nefos aveva affidato il lavoro. Risposta e situazione attuale Azdoufal ha scoperto le vulnerabilit� a maggio. L'analisi di Azdoufal ricostruisce come Nefos abbia impiegato cinque giorni per rispondere e abbia inizialmente cercato di tappare i buchi invece di affrontare i rischi per gli utenti. Il 4 giugno Azdoufal ha verificato che il proprio passaporto era di nuovo online senza protezione. Il 9 giugno, anche dopo che Nefos aveva aggiunto token di accesso alle immagini, tutti gli altri dati del profilo risultavano ancora facilmente accessibili. Al 10 giugno i test di Azdoufal hanno dato esito diverso: passaporti e dati personali risultavano protetti. Nefos sta spegnendo l'intero sistema PuffPal e le API vulnerabili in attesa di un consolidamento, ha notificato le autorit� locali e l'Ireland Data Protection Commission, e ha chiuso il rapporto con 9Series. Il co-fondatore Andreas Nilsen ha dichiarato di non avere evidenza che soggetti terzi, oltre ad Azdoufal, abbiano acceduto ai dati, e ha riconosciuto che la normativa UE imponeva la notifica entro 72 ore dalla scoperta della violazione. Per gli utenti dei club cannabis europei che hanno caricato documenti tramite il sistema Nefos, la violazione riguarda dati particolarmente sensibili: un documento ufficiale abbinato a indirizzi di casa e informazioni sul consumo di sostanze forma un profilo che espone a rischi concreti, anche se la superficie di accesso risulta ora chiusa. Nefos prevede di lanciare una nuova app verificata in modo indipendente entro pochi mesi.
Quasi un milione di passaporti esposti: la falla nel software per i club cannabis europei
Quasi un milione di documenti di identit� esposti senza protezione su URL pubblici: la violazione riguarda Nefos Solutions, software gestionale per club cannabis europei, scoperta dal ricercatore Sammy Azdoufal decompilando l'app PuffPal
540 words~2 min read
