- Cerca de 985 mil documentos de identidade, incluindo passaportes e carteiras de motorista, estavam expostos publicamente na internet sem proteção.
- Dados de usuários de clubes de cannabis na Espanha, incluindo nomes, números de telefone, endereços e preferências, estavam entre os documentos acessíveis.
- A empresa irlandesa Cannabis Club Systems (Nefos Solutions) fornece o software utilizado pelos clubes; o sistema PuffPal permitia entrada rápida via QR code.
- Em junho, a Nefos informou ter encerrado o sistema PuffPal e APIs vulneráveis para corrigir as falhas, após cooperação com autoridades locais.
- A empresa está em contato com a Autoridade de Proteção de Dados da Irlanda (DPC) para orientar as ações de comunicação e reparação, segundo a companhia.
Um pesquisador de segurança revelou que quase um milhão de identidades, incluindo passaportes e carteiras de motorista, ficaram expostas publicamente na internet, sem senhas ou controles de acesso. O material foi encontrado em URLs públicas, acessíveis a qualquer pessoa com o link.
Os documentos pertencem a pessoas que frequentam clubes de cannabis na Espanha e incluem imagens de passes, números de telefone e endereços. Além dos dados, estariam expostas informações sobre preferências de consumo. A lista também contém registros de usuários norte-americanos e de celebridades.
A origem das falhas está em uma empresa irlandesa chamada Cannabis Club Systems, também conhecida como Nefos Solutions, que desenvolve software para clubes, incluindo um sistema de verificação em que recepcionistas carregam identidades e selfies na nuvem da Nefos. Um aplicativo chamado PuffPal facilita a entrada por meio de código QR.
Durante a investigação, o pesquisador identificou chave de autenticação armazenada em texto simples no app PuffPal e a possibilidade de acessar perfis de usuários alterando números no código, expondo dados como telefone, endereço e preferências de consumo. Também foram encontrados portais de administração com segurança baixa.
Foram detectadas imagens de IDs armazenadas em URLs simples, expondo cerca de 5 mil novas imagens por dia, segundo a análise. Além disso, mensagens privadas entre clubes e membros no PuffPal também estavam desprotegidas, segundo a verificação inicial.
Resposta da empresa e desdobramentos
Após contato, a Nefos informou que desativou o sistema PuffPal e APIs vulneráveis até que as falhas sejam corrigidas. A empresa comunicou às autoridades locais e disse que assumirá responsabilidades, incluindo possíveis multas e comunicação aos usuários afetados.
A Nefos também afirmou estar em contato com a Autoridade de Proteção de Dados da Irlanda para orientar a comunicação aos potenciais expostos. A instituição confirmou o diálogo por e-mail, ressaltando a necessidade de manter a transparência com quem teve dados acessados.
Situação atual
Dados de novembro de 2025 até junho de 2026 indicam que o material exposto passou a ser tratado com medidas corretivas, e as imagens de passaporte e dados pessoais teriam ficado sob proteção nas novas verificações. A verificação formal dos impactos segue em andamento pelas autoridades competentes.
Entre na conversa da comunidade