PuffPal、大麻クラブへのアクセス用アプリ、100万ユー... ノート

PuffPal、大麻クラブへのアクセス用アプリ、100万ユーザーのパスポートを漏洩

サミー・アズドゥファルは、大麻クラブの利用者の個人情報や消費習慣を含む機密データが、適切なセキュリティなしに保存されていることを発見しました。このデータは、PuffPalというスペインのアプリを通じてアクセス可能であり、実質的なセキュリティ対策が施されていませんでした。アズドゥファルは、決済プラットフォームの秘密鍵を平文で見つけ、単一の数字を変更するだけで任意の会員のプロフィールにアクセスすることができました。特に重要なのは、パスポートや運転免許証などの身分証明書が公開URLに保存されており、容易に発見可能であったことです。これらの安全でないリンクを通じて、毎日数千件の新しいIDがアップロードされていました。ブルース・シュナイアーは、パスポートのような高価値の認証情報を、大麻クラブのID確認のような低価値の認証システムに使用することの重大なリスクを強調しています。この事件は、オンライン活動における年齢確認を義務付ける法案の提案に対する警告となり、同様の個人情報漏洩が避けられない結果であることを示唆しています。露呈した脆弱性は、たとえ些細に見えるオンラインシステムであっても、セキュリティがいかに不可欠であるかを示しています。