Gati një milion pasaporta dhe foto ID mbetën të pambrojtura në internetin publik
Kjo duhet të jetë një thirrje zgjimi për sigurinë e të dhënave.
Duke shkruar disa letra dhe numra në shfletuesin tim të internetit, e gjej veten duke u futur në dokumentet e identitetit të të panjohurve të plotë. Pasaporta e një vajze nga Gjermania. Pasaporta e një burri nga Spanja me syze që po pushon në kokë. Licensa e përparme dhe e pasme e një burri tjetër, një shprehje stereopike gufize në fytyrën e tij.
Të gjithë ishin të pambrojtur në URL publike, pa fjalëkalim apo kontroll hyrjeje të çdo lloji. Nëse të dërgoja një lidhje, mund të shikoje pasaportën e dikujt.
Duhet të bëjmë diçka sa më shpejt të jetë e mundur, sepse njerëzit do ta gjejnë këtë dhe do ta rishpërthejnë. Do të shkaktojë dëme, më tha Semi Azdoufali në maj.
Azdoufali është kërkuesi i sigurisë që përdori Kodin Klod për të ndihmuar në zbulimin se çdo robot DCI Romo pastron me fshesë korent dhe një milion vëzhgues bebesh dhe kamera sigurie ishin në siklet për t’u hakuar. Këtë herë, ai thotë se zbuloi mbi 985,000 fotografi të ulura në internetin publik për të vjedhur çdo haker gjysmë-decent.
Nëse keni vizituar një klub kanabis në Spanjë, thotë Azdoufal, shanset janë foto ID tuaj ishte midis tyre ⇩ dhe ndoshta numrin tuaj të telefonit, adresën, llojin tuaj të preferuar të kanabisit dhe sa keni konsumuar çdo muaj, ndërsa jeni atje. Azdoufal thotë se njerëzit e famshëm janë gjithashtu në bazën e të dhënave dhe vizitorët nga e gjithë bota, duke përfshirë 30,000 nga Shtetet e Bashkuara. Ata kanë njerëz të famshëm, thotë Azdoufali. Njerëz që nuk duan që të gjithë ta dinë se pinë hashash.
Këtu është një përmbledhje e ashpër e bazës së përdoruesit që është në gjendje të shohë instrumenti automatik Azdoufal dhe emrat e disa klubeve:
Nuk i mbron klubet që nuk i mbrojnë këto dokumente identiteti. Një kompani irlandeze e quajtur Sistemet e Klubit Kanabis (CCS), zyrtarisht Nefos Solutions, zhvillon dhe siguron softueret që këto klube i përdorin për shitje, llogaritje dhe pranime, duke përfshirë një sistem verifikimi ku recepsionistët ngarkojnë kartat e identitetit dhe vetëdive tuaja në renë Nefos.
Tradicionalisht, ju duhet të jepni një foto ID çdo herë që dëshironi të hyni në një klub. Por me sistemin e verifikimit, recepsionisti mund të ngrejë dokumentet e identitetit tuaj të ruajtur dhe të kontrollojë nëse fytyra juaj përputhet. Atje është gjithashtu një aplikacion opcional i quajtur PuffPal që lejon klubet të skanojnë një kod QR për hyrjen më të shpejtë.
Por kur Azdoufal dekompimpoi se aplikacioni PuffPal, ai shpjegon në raportin e tij , ai zbuloi se Nefos nuk kishte nivel domethënës sigurie. Ai zbuloi një çelës sekret për platformën e pagesave të shiritit të ulur brenda aplikacionit në tekst të thjeshtë. Ai zbuloi se mund të tërhiqte çdo profil anëtar vetëm duke ndryshuar një numër. Nëse këta profilë përfshinin numrin e tyre të telefonit, adresën e shtëpisë, pasaportën dhe preferencat e barit, ai tani kishte mundësi edhe për ta.
Dhe pastaj, ai zbuloi se ato pasaporta, patenta shoferësh, dhe foto ID-të ishin ruajtur në URL-të publike aq të thjeshta sa kjo: https://ccsnubev2.com/v8/images/ {club}/ID/{përdoruesi id}-përpara.jpg
Këto klube po transportonin 5,000 fotografi të reja me këto URL të pasigurta çdo ditë, më thotë Azdoufali.
Ai gjeti gjithashtu një portë admin që ishte e arritshme nëpërmjet internetit publik dhe që klubet e kanabisit kishin një nivel të parëndësishëm sigurie në llogaritë e tyre, duke përdorur fjalëkalime që teorikisht mund të plaseshin në minuta me një GPU moderne. Mesazhet e bisedimeve private midis klubeve dhe anëtarëve nëpërmjet aplikacionit PuffPal qenë gjithashtu të cënueshëm.
Lajmi i mirë: gati një muaj pasi mbërritëm në Nefos, kompania duket se po ndërmerr veprime domethënëse. Kompania thotë se ai mbyll të gjithë sistemin e saj PuffPal dhe aPI-të e prekshme deri sa ato të rregullohen në Azdoufal (prova të fundit në 10 qershor), imazhet e pasaportave dhe të dhënat personale duket se janë të sigurta. Nefos ka informuar gjithashtu autoritetet lokale dhe thotë se do të marrë përgjegjësi për të rregulluar, paguar gjobat dhe për t’u thënë përdoruesve se çfarë ndodhi.
Në një intervistë telefonike, bashkëthemeluesi i Nefos Andreas Nilsen i thotë The Verge se ai është në kontakt me Autoritetin e Mbrojtjes së të Dhënave të Irelandës (DPC) rreth shkeljes së të dhënave, një fakt që zëdhënësi i DPC Evan O udhërrëfyes na konfirmoi me e-mail. Duhet të komunikojmë me këdo që mund të jetë i ekspozuar, më thotë Nilsen, duke thënë se shpreson se PDC mund t’i tregojë kompanisë së tij se si ta bëjë këtë siç duhet. Nilsen pretendon se aktualisht nuk ka asnjë provë se ndonjë i huaj ka hyrë në të dhënat përveç Azdoufalit.
Por Nefos e mori seriozisht kërcënimin. Na u deshën pesë ditë dhe kërcënimin e një historie para se kompania të na përgjigjej, shumë kohë pasi Azdoufali arriti. Pastaj, Nefosi filloi duke shkruar vrimat në vend që të rrezikonte biznesin.
Isha gati ta shkruaja këtë histori në fillim të qershorit, pasi Azdoufali më tha se Nefosi më në fund kishte mbyllur imazhet e pasaportave. Por në 4 qershor, unë habita Azdoufal duke i treguar atij se vetë pasaporta e tij ishte në internet përsëri, pa mbrojtje.
Kjo është për shkak se Nefos nuk kishte ndaluar ende klubet e kanabis nga përdorimi i aplikacionit PuffPal, dhe klubet ishin duke u ankuar imazhet e bllokuar-down ishin duke treguar mënyrën se si ata e përdornin për të ♫ kështu që Nefos thjesht çkyqur imazhet përsëri. Ndërsa Nilsi