一位安全研究人員近日發現，近 98.5 萬份護照、駕照等照片身份證明及相關個人信息，被一家為西班牙大麻俱樂部提供軟件服務的公司以幾乎零防護的方式暴露在公網上，任何技術水平一般的黑客都可以輕易獲取。這批數據涉及來自世界各地的用戶，包括約 3 萬名美國訪客，還有部分名人，他們在西班牙等地的大麻俱樂部登記身份信息、本人的自拍照、聯系方式以及消費習慣等隱私內容，都可能已被悄然暴露。

發現這一嚴重漏洞的是安全研究員 Sammy Azdoufal，他此前曾披露多款掃地機、嬰兒監視器和安全攝像頭存在嚴重安全缺陷。他表示，通過簡單的腳本掃描，他在互聯網上發現了超過 98.5 萬張身份證件照片，其中絕大部分來自西班牙的大麻俱樂部會員注冊系統。這些文件被存放在極其簡單、可預測的公開 URL 下，沒有任何密碼或訪問控制，只要知道鏈接格式就能查看任意用戶的證件圖像。

這些大麻俱樂部本身并不直接運營相關系統，而是使用一家名為 Cannabis Club Systems（CCS）的愛爾蘭公司提供的軟件和云服務，該公司此前也名為 Nefos Solutions。CCS 為俱樂部提供銷售、財務以及入場驗證系統：接待人員會將用戶護照或身份證照片以及自拍上傳到 Nefos 的云端，以便日后快速核驗身份。在傳統模式下，會員每次進店都要出示實體證件，而該系統則允許工作人員通過調出云端資料進行比對，部分俱樂部還配套使用名為 PuffPal 的手機應用，通過掃描二維碼加快入場流程。

然而，當 Azdoufal 對 PuffPal 應用進行反編譯分析時，他發現 Nefos 的整體安全設計幾乎形同虛設。應用內不僅以明文形式嵌入了 Stripe 支付平臺的密鑰，用戶資料接口也只需修改一個數字就能訪問到不同會員的完整檔案，其中可能包括電話號碼、家庭住址、護照信息以及個人大麻消費偏好等敏感數據。更嚴重的是，系統將身份證件照片保存在類似 “https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg” 的公開地址上，沒有任何令牌或權限校驗，而各俱樂部每天仍在以這樣的方式上傳約 5000 張新證件照。

Azdoufal 還發現，一個面向俱樂部的管理后臺同樣暴露在公網，并且俱樂部賬號使用的弱密碼在現代 GPU 的暴力破解下可以在數分鐘內被攻破。通過 PuffPal 應用在俱樂部與會員之間的私聊消息，也被證明存在潛在泄露風險。在他看來，這種“把一整座金庫的鑰匙隨手扔在街上”的做法，讓任何有心的攻擊者都能夠批量竊取并轉賣這些高度敏感的身份數據，對當事人造成無法預估的損害。

在媒體介入后，Nefos 終于開始采取實質行動。據 Azdoufal 在 6 月 10 日的最新測試結果，這家公司已經宣布暫時關閉 PuffPal 整套系統及其存在漏洞的 API，護照圖片和個人數據目前看起來已被加固，外界已無法再通過此前的方式直接訪問。公司方面表示，已向當地監管機構通報情況，將全面修復問題并承擔罰款責任，同時向用戶說明事件經過。

Nefos 聯合創始人 Andreas Nilsen 在接受采訪時稱，公司已經就此次數據泄露事件與愛爾蘭數據保護委員會（DPC）取得聯系，這一點也得到了 DPC 發言人通過郵件的證實。Nilsen 表示，他們“必須向所有可能受影響的人發出通知”，并希望 DPC 能指導公司如何規范地履行這一義務。他同時聲稱，目前尚無證據顯示除 Azdoufal 以外的外部人員訪問過這些數據。

不過，從時間線上看，Nefos 對這起嚴重風險的響應明顯拖延。在 Azdoufal 主動聯系公司后，Nefos 遲遲未做出實質回應，直到媒體表明要報道此事五天之后才正式回復。在此期間，公司更多是在“打補丁”式地封堵局部漏洞，以避免影響業務運轉，而非從根本上停止存在安全隱患的系統。

更具諷刺意味的是，今年 6 月初，當 Azdoufal 告知記者護照照片似乎已經被鎖定時，記者卻意外發現 Azdoufal 本人的護照圖像再次在網上公開可見。原因在于，Nefos 雖暫時限制了圖像訪問，但并未立刻停止俱樂部使用 PuffPal 應用，而后者的客戶因抱怨“圖片加載不如從前方便”，促使 Nefos 再次放開了訪問限制。Nilsen 辯稱，在他們與研究人員和媒體溝通期間，圖像大約有“70% 的時間”處于封鎖狀態，但事實證明公司在保護用戶隱私和維護客戶體驗之間，明顯偏向了后者。

到了 6 月 9 日，Azdoufal 又發現，盡管 Nefos 已經為護照圖片等文件增加了訪問令牌，用戶檔案中的其他數據仍處于“裸奔”狀態。黑客只需在命令行中輸入類似 “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[編號]&[俱樂部名]=test&language=en'” 的請求，就能獲取到包括護照號碼、電話、郵箱和家庭住址在內的一整套個人信息。在研究員和媒體再次提醒后，Nefos 才徹底封堵了這一接口。

面對質疑，Nilsen 在承認最終責任在公司的同時，也將部分鍋甩給了外包團隊。他點名一家名為 9Series 的外包公司，稱其負責開發 PuffPal 應用和相關 API，而正是這些接口讓大量未加保護的數據從 Nefos 的用戶數據庫中被直接調取至公網。截至發稿時，9Series 尚未就此作出回應。

目前，隨著 PuffPal 被關閉，Nefos 正通過郵件通知各家大麻俱樂部，其會員今后將無法再使用二維碼入場。不過，俱樂部仍可通過掃描會員的 RFID 卡或輸入電話號碼等方式，從 Nefos 服務器調用相關身份資料進行現場核驗。Nilsen 強調，公司不會因為俱樂部要求就重新上線安全性不足的 PuffPal，而是在與 9Series 終止合作后，計劃在未來幾個月推出一款新的應用。他承諾，新系統將由獨立安全研究人員進行審核，并在確認“百分之百安全”后才會重新投入使用。

根據歐盟《通用數據保護條例》（GDPR），企業在發生數據泄露后 72 小時內必須向監管機構報告，否則可能面臨巨額罰款。Nilsen 也承認，公司沒有在法定時限內完成披露，因此“肯定會受到某種形式的處罰”。就在上個月，一家名為 “UK Visa Portal” 的網站同樣因將至少 10 萬份護照及自拍照暴露在可猜測 URL 下而引發輿論關注。業內人士擔心，類似事件正在不斷累積，暴露出越來越多企業在處理高度敏感身份信息時的疏忽和短視，也再次敲響了數據安全的警鐘。