近百萬筆護照與個資全裸露！軟體商 Nefos 安全漏洞，讓大麻俱樂部會員隱私門戶大開

近百萬筆敏感個資，在網路上「裸奔」

只要在瀏覽器輸入幾個簡單的字元，任何人都能輕易瀏覽全球各地陌生人的護照、駕照以及身分證件。資安研究員 Sammy Azdoufal 近期揭露了一項駭人發現：愛爾蘭軟體公司 Cannabis Club Systems（前身為 Nefos Solutions，簡稱 Nefos）所開發的系統，竟將高達 98 萬 5,000 筆用戶的身分證件檔案，直接暴露在公開網路上，且完全沒有任何密碼或存取控制。

這些個資主要來自西班牙的大麻俱樂部會員。Azdoufal 指出，資料庫中不僅包含護照與駕照影像，甚至還詳載了會員的電話號碼、家庭住址、偏好的大麻品種，以及每月的消費量。受影響者遍布全球，其中更包含約 3 萬名美國公民，甚至還有不希望身分曝光的名人。

外包開發埋下資安地雷

Nefos 為大麻俱樂部提供銷售、會計與會員驗證軟體，並開發了一款名為「PuffPal」的應用程式，讓俱樂部能透過掃描 QR Code 快速驗證會員身分。然而，Azdoufal 在反編譯 PuffPal 後發現該系統存在致命缺陷：

• 缺乏防護：系統將護照與身分證件儲存在公開的 URL 路徑中，且命名規則極易被猜測。
• API 漏洞：駭客僅需透過簡單的指令，即可隨意存取任何會員的個人檔案。
• 金鑰外洩：應用程式中直接以明文形式存放了 Stripe 支付平台的密鑰。
• 密碼強度不足：管理員入口網站的密碼強度極低，現代 GPU 僅需幾分鐘即可破解。

Azdoufal 強調，這些俱樂部每天會上傳約 5,000 筆新的身分證件，而 Nefos 卻將這些敏感資料置於毫無防護的雲端環境中。

Nefos 坦承疏失，但補救過程荒腔走板

面對媒體與研究員的質詢，Nefos 共同創辦人 Andreas Nilsen 承認公司在資安上嚴重失職，並將矛頭指向負責開發 PuffPal 的外包商 9Series。Nilsen 表示，Nefos 已與 9Series 終止合作，並承諾未來將由獨立資安研究員進行驗證，確保系統安全。

然而，Nefos 的補救過程並不順利。在 Azdoufal 首次告知漏洞後，Nefos 雖曾短暫封鎖圖片，但因部分俱樂部抱怨功能異常，公司竟一度將圖片重新開放存取。直到 6 月中旬，Nefos 才徹底關閉 PuffPal 系統及相關的脆弱 API。Nilsen 坦言，公司並未在歐盟法律規定的 72 小時內揭露資料外洩事件，目前已聯繫愛爾蘭資料保護委員會（DPC），並準備承擔相應的罰款與法律責任。

我們必須盡快採取行動，因為一旦被有心人士發現，這些資料將被轉賣並造成嚴重傷害。—— Sammy Azdoufal