Un millón de documentos de identidad de socios de clubs de cannabis españoles quedan expuestos en internet

Los datos personales y documentos de identidad de cientos de miles de socios de clubs de cannabis en España han estado accesibles en internet sin ningún tipo de protección durante un periodo prolongado. Los datos incluyen pasaportes, DNIs, carnets de conducir, direcciones, teléfonos e incluso hábitos de consumo de estos usuarios.

La brecha, descubierta por un investigador de seguridad independiente, afecta a cerca de un millón de personas y, según el propio investigador, a usuarios de cannabis con proyección pública que preferían mantener en privado sus hábitos de consumo.

Un fallo en el proveedor de software

Los clubs de cannabis españoles utilizan habitualmente softwares de gestión para controlar el acceso de sus socios, registrar sus consumos y gestionar la contabilidad del local. Buena parte de ellos usan el programa de una empresa irlandesa llamada Cannabis Club Systems (CCS), anteriormente conocida como Nefos Solutions.

La empresa ofrece además un sistema de verificación de identidad muy útil para los clubes: los recepcionistas fotografían el documento del socio y lo suben a los servidores de Nefos para agilizar futuras visitas. La compañía también comercializaba una aplicación, PuffPal, que permitía el acceso mediante código QR.