Vulnerabilidad crítica en CCS/Nefos expuso casi 1 millón de pasaportes e IDs en URLs públicas
La Vulnerabilidad crítica en CCS/Nefos dejó potencialmente expuestos en internet cerca de 985.000 documentos (pasaportes y photo IDs) asociados a clubes de cannabis en España, según un informe del investigador de seguridad Sammy Azdoufal. El incidente combina almacenamiento de imágenes en public URLs sin autenticación y acceso a datos personales mediante APIs con controles insuficientes, un patrón que eleva el riesgo de robo de identidad y reventa de documentación.
Qué pasó con la Vulnerabilidad crítica en CCS/Nefos
De acuerdo con la investigación, el software de Cloud provisto por Cannabis Club Systems (CCS), formalmente Nefos Solutions (Irlanda), se utiliza para ventas, contabilidad y admisiones, incluyendo un sistema de verificación en el que el personal del club sube documentos y selfies a la infraestructura del proveedor. El problema, según el reporte, es que parte de ese contenido habría quedado accesible desde URLs públicas sin password ni access control.
Azdoufal sostiene que, al analizar la app PuffPal (utilizada para acceso rápido mediante QR), detectó debilidades adicionales: presencia de secretos en texto plano, enumeración de perfiles modificando un identificador y exposición de información sensible (teléfonos, direcciones, emails y números de pasaporte) a través de endpoints accesibles desde internet. En el reporte se describe también la existencia de un portal administrativo expuesto y credenciales débiles en cuentas de clubes, potencialmente crackeables con GPU moderna.
Impacto potencial: datos personales y verificación de identidad
El investigador afirma que la base afectada podría incluir usuarios internacionales y hasta perfiles de alto riesgo reputacional (por ejemplo, personas públicas), lo que incrementa el valor de la información en mercados ilícitos. Además de los documentos, el reporte menciona que perfiles de miembros podrían contener datos de contacto y metadatos operativos asociados a la membresía y consumo, lo que agrava el impacto en privacidad.
Vector técnico citado en el reporte
-
Almacenamiento en public URLs de imágenes de IDs sin autenticación.
-
APIs vulnerables capaces de devolver información personal con validación insuficiente, según la investigación.
-
Riesgo de enumeración al cambiar IDs numéricos para consultar perfiles.
Respuesta de la empresa y medidas anunciadas
Nefos asegura que apagó el sistema PuffPal y los APIs vulnerables mientras implementa correcciones. Según las últimas comprobaciones mencionadas en la publicación original (con fecha 10 de junio), las imágenes de pasaportes y datos personales ya no parecerían accesibles de forma abierta. Un cofundador de Nefos, Andreas Nilsen, indicó que la empresa se coordinó con la Data Protection Commission (DPC) de Irlanda y que no tendría evidencia de accesos externos más allá del propio investigador.
La compañía también habría comunicado a clubes la indisponibilidad temporal de la entrada por QR, manteniendo alternativas operativas (por ejemplo, búsqueda por teléfono o lectura de tarjetas RFID, según la información publicada). Nefos señaló además a un tercero de outsourcing, 9Series, como responsable del desarrollo de PuffPal y de los APIs implicados, aunque subrayó que la responsabilidad final recae en la propia Nefos.
Contexto regulatorio: plazos de notificación en la UE
En el marco del GDPR, la notificación de un data breach a la autoridad competente suele estar sujeta a un plazo de 72 horas cuando procede, con potenciales sanciones. En el caso descrito, Nefos reconoce que no habría cumplido ese requisito en tiempo, según declaraciones recogidas en la información original.
Para contexto y seguimiento, estas son las fuentes principales enlazadas: publicación original en The Verge y el reporte técnico compartido en GitHub por el investigador. También es relevante el marco normativo: GDPR (resumen en gdpr.eu).
A medida que las plataformas de verificación de identidad se integran en procesos físicos (admisión) mediante apps y QR, la Vulnerabilidad crítica en CCS/Nefos vuelve a poner el foco en un básico de seguridad: documentos de identidad y perfiles personales no pueden quedar expuestos por diseño en URLs públicas o APIs sin controles robustos.
