{"id":748480,"date":"2026-06-10T18:55:00","date_gmt":"2026-06-10T21:55:00","guid":{"rendered":"https:\/\/staging.portaltela.com\/noticias\/2026\/06\/10\/quase-um-milhao-de-passaportes-e-ids-com-foto-ficaram-expostos-na-internet\/"},"modified":"2026-06-10T18:55:00","modified_gmt":"2026-06-10T21:55:00","slug":"quase-um-milhao-de-passaportes-e-ids-com-foto-ficaram-expostos-na-internet","status":"publish","type":"post","link":"https:\/\/staging.portaltela.com\/seguranca\/2026\/06\/10\/quase-um-milhao-de-passaportes-e-ids-com-foto-ficaram-expostos-na-internet\/","title":{"rendered":"Quase um milh\u00e3o de passaportes e IDs com foto ficaram expostos na internet"},"content":{"rendered":"<p>Um pesquisador de seguran\u00e7a revelou que quase um milh\u00e3o de identidades, incluindo passaportes e carteiras de motorista, ficaram expostas publicamente na internet, sem senhas ou controles de acesso. O material foi encontrado em URLs p\u00fablicas, acess\u00edveis a qualquer pessoa com o link.<\/p>\n<p>Os documentos pertencem a pessoas que frequentam clubes de cannabis na Espanha e incluem imagens de passes, n\u00fameros de telefone e endere\u00e7os. Al\u00e9m dos dados, estariam expostas informa\u00e7\u00f5es sobre prefer\u00eancias de consumo. A lista tamb\u00e9m cont\u00e9m registros de usu\u00e1rios norte-americanos e de celebridades.<\/p>\n<p>A origem das falhas est\u00e1 em uma empresa irlandesa chamada Cannabis Club Systems, tamb\u00e9m conhecida como Nefos Solutions, que desenvolve software para clubes, incluindo um sistema de verifica\u00e7\u00e3o em que recepcionistas carregam identidades e selfies na nuvem da Nefos. Um aplicativo chamado PuffPal facilita a entrada por meio de c\u00f3digo QR.<\/p>\n<p>Durante a investiga\u00e7\u00e3o, o pesquisador identificou chave de autentica\u00e7\u00e3o armazenada em texto simples no app PuffPal e a possibilidade de acessar perfis de usu\u00e1rios alterando n\u00fameros no c\u00f3digo, expondo dados como telefone, endere\u00e7o e prefer\u00eancias de consumo. Tamb\u00e9m foram encontrados portais de administra\u00e7\u00e3o com seguran\u00e7a baixa.<\/p>\n<p>Foram detectadas imagens de IDs armazenadas em URLs simples, expondo cerca de 5 mil novas imagens por dia, segundo a an\u00e1lise. Al\u00e9m disso, mensagens privadas entre clubes e membros no PuffPal tamb\u00e9m estavam desprotegidas, segundo a verifica\u00e7\u00e3o inicial.<\/p>\n<p>Resposta da empresa e desdobramentos<\/p>\n<p>Ap\u00f3s contato, a Nefos informou que desativou o sistema PuffPal e APIs vulner\u00e1veis at\u00e9 que as falhas sejam corrigidas. A empresa comunicou \u00e0s autoridades locais e disse que assumir\u00e1 responsabilidades, incluindo poss\u00edveis multas e comunica\u00e7\u00e3o aos usu\u00e1rios afetados.<\/p>\n<p>A Nefos tamb\u00e9m afirmou estar em contato com a Autoridade de Prote\u00e7\u00e3o de Dados da Irlanda para orientar a comunica\u00e7\u00e3o aos potenciais expostos. A institui\u00e7\u00e3o confirmou o di\u00e1logo por e-mail, ressaltando a necessidade de manter a transpar\u00eancia com quem teve dados acessados.<\/p>\n<p>Situa\u00e7\u00e3o atual<\/p>\n<p>Dados de novembro de 2025 at\u00e9 junho de 2026 indicam que o material exposto passou a ser tratado com medidas corretivas, e as imagens de passaporte e dados pessoais teriam ficado sob prote\u00e7\u00e3o nas novas verifica\u00e7\u00f5es. A verifica\u00e7\u00e3o formal dos impactos segue em andamento pelas autoridades competentes.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Cerca de 985 mil documentos de identidade, incluindo passaportes e carteiras de motorista, estavam expostos publicamente na internet sem prote\u00e7\u00e3o.<\/li>\n<li>Dados de usu\u00e1rios de clubes de cannabis na Espanha, incluindo nomes, n\u00fameros de telefone, endere\u00e7os e prefer\u00eancias, estavam entre os documentos acess\u00edveis.<\/li>\n<li>A empresa irlandesa Cannabis Club Systems (Nefos Solutions) fornece o software utilizado pelos clubes; o sistema PuffPal permitia entrada r\u00e1pida via QR code.<\/li>\n<li>Em junho, a Nefos informou ter encerrado o sistema PuffPal e APIs vulner\u00e1veis para corrigir as falhas, ap\u00f3s coopera\u00e7\u00e3o com autoridades locais.<\/li>\n<li>A empresa est\u00e1 em contato com a Autoridade de Prote\u00e7\u00e3o de Dados da Irlanda (DPC) para orientar as a\u00e7\u00f5es de comunica\u00e7\u00e3o e repara\u00e7\u00e3o, segundo a companhia.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":748488,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[659,628],"tags":[1088,6809,3233,1538,2748,437],"class_list":["post-748480","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguranca","category-seguranca","tag-ciberseguranca","tag-dados","tag-identidades","tag-informacao","tag-privacidade-e-seguranca","tag-seguranca"],"_links":{"self":[{"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/posts\/748480","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/comments?post=748480"}],"version-history":[{"count":0,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/posts\/748480\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/media\/748488"}],"wp:attachment":[{"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/media?parent=748480"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/categories?post=748480"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.portaltela.com\/api\/wp\/v2\/tags?post=748480"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}