在我的网页浏览器中输入几个字母和数字，我发现自己对完全陌生的身份文件感到震惊。德国一位年轻女性的护照。西班牙一位戴着眼镜的男士的护照。另一个男性驾照的正反面，他的脸上带着典型的傻笑。它们都无保护地位于公共网址上，根本没有密码或任何访问控制。如果我发送给你一个链接，你就可以查看某人的护照。“我们必须尽快采取措施，因为人们会发现并转售这些信息。这将造成损害，”萨米·阿兹杜法尔在5月告诉我。阿兹杜法尔是一个安全研究人员，他利用Claude Code帮助发现每台DJI Romo机器人吸尘器以及一百万台婴儿监视器和安全摄像头都极其容易被黑客入侵。这次，他表示他发现了超过985,000个照片身份证在公共互联网上，任何一个半个体面的黑客都能轻易盗取。阿兹杜法尔表示，如果你曾访问过西班牙的一个大麻俱乐部，你的照片身份证很可能就在其中——并可能包括你的电话号码、地址、你最喜欢的大麻品种以及你每月在那里的消费量。阿兹杜法尔表示，数据库中也有名人，来自世界各地的访客，包括来自美国的30,000人。“他们有著名的人，”阿兹杜法尔说。“那些不想让所有人知道自己抽大麻的人。”这是阿兹杜法尔的自动化工具能够看到的用户群体的粗略摘要，以及一些俱乐部的名称： 图片：萨米·阿兹杜法尔 这并不是那些未保护身份文件的俱乐部。一个名为Cannabis Club Systems（CCS）的爱尔兰公司，正式名称是Nefos Solutions，开发并提供这些俱乐部用于销售、会计和入场的软件，包括一个验证系统，接待员将你的身份证和自拍上传到Nefos的云端。按照传统，每次你想进入俱乐部都需要提供一个照片身份证。但通过验证系统，接待员可以调出你存储的身份文件并检查你的脸是否匹配。还有一个可选的应用程序PuffPal，让俱乐部能够扫描二维码以便更快入场。但当阿兹杜法尔对该PuffPal应用进行反编译时，他在报告中解释，他发现Nefos并没有有意义的安全级别。他发现一个存放在应用中的Stripe支付平台的秘密密钥是明文的。他发现只需更改一个数字就可以调出任何成员的个人资料。如果这些资料包含他们的电话号码、家庭地址、护照和大麻偏好，他现在也可以访问它们。然后，他发现这些护照、驾照和照片身份证是存储在简单的公共网址上，如： https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg 阿兹杜法尔告诉我，这些俱乐部每天上传5,000个具有这些不安全网址的新照片身份证。他还发现一个通过公共互联网可访问的管理门户，并且这些大麻俱乐部在自己的账户上有微不足道的安全性，使用的密码理论上可以在几分钟内被现代GPU破解。通过PuffPal应用，俱乐部和会员之间的私人聊天消息也存在漏洞。好消息是：大约一个月后，在我们联系Nefos后，该公司似乎终于开始采取重大行动。该公司表示它将关闭整个PuffPal系统和脆弱的API，直到可以修复——在阿兹杜法尔6月10日的最新测试中，护照图像和个人数据似乎已得到保护。Nefos还已通知当地当局，并表示将承担责任进行修复、支付罚款，并告知用户发生了什么。在一次电话采访中，Nefos的联合创始人安德烈亚斯·尼尔森告诉The Verge，他与爱尔兰的数据保护局（DPC）就数据泄露保持联系——DPC发言人伊万·奥利里通过电子邮件向我们确认了这一事实。“我们必须与所有可能受到影响的人进行沟通，”尼尔森告诉我，他希望DPC能够告诉他的公司如何正确做到这一点。尼尔森宣称，目前没有证据表明除了阿兹杜法尔以外的任何外部人员获取了数据。但Nefos在认真对待这一威胁方面花费了太长时间。在阿兹杜法尔联系后，该公司在五天内才回复了我们的提问，威胁开始浮出水面。随后，Nefos开始补救漏洞，而不是冒险业务。我准备在6月初撰写此故事，阿兹杜法尔告诉我Nefos终于锁定了护照图像。但在6月4日，我让阿兹杜法尔感到意外，向他展示他自己的护照再次在线上，没有任何保护。这是因为Nefos尚未停止大麻俱乐部使用PuffPal应用，俱乐部抱怨被锁定的图像未能呈现以前那样的方式——因此，Nefos只是简单地再次解锁了图像。尼尔森声称这些图像已被锁定“70%”。