Registratieplatform voor cannabisclubs lekt bijna één miljoen paspoorten

In dit artikel:

Een registratieplatform dat door cannabisclubs gebruikt wordt heeft gevoelige data van leden wijd opengezet: bijna 986.000 scans van paspoorten en de persoonlijke en medische gegevens van ruim één miljoen mensen waren zonder authenticatie vanaf internet opvraagbaar. Onderzoeker Sammy Azdoufal ontdekte de kwetsbaarheid via de PuffPal‑app die een qr‑code voor snellere toegang genereert en bestellingen mogelijk maakt; de app verwees naar een gebruikers‑API waarvan de parameter user_id een opeenvolgend nummer was en er geen token, sessiecookie of API‑sleutel nodig was. Door eenvoudig nummers aan te passen kon hij profielen van meer dan een miljoen leden uitlezen, inclusief maandelijk cannabisgebruik en voorkeuren.

De registratieupload van paspoortfoto’s bleek eveneens op een voorspelbare, onbeveiligde URL te staan, waardoor bijna één miljoen afbeeldingen te downloaden waren. Azdoufal vond verder dat onder de betrokken leden circa 7.000 Nederlanders en bijna 8.000 Belgen stonden, en bij meer dan een miljoen accounts stond vermeld dat gebruik medisch van aard was — gezondheidsgegevens die onder de AVG extra bescherming genieten. Na herhaalde meldingen aan de softwareontwikkelaar eind april en een publicatie via The Verge werden de lekken volgens het bedrijf op 10 juni verholpen. De zaak illustreert een klassieke IDOR‑fout (onveilige directe verwijzing) en de risico’s van slecht afgeschermde API’s en voorspelbare bestandslocaties.