PuffPal, an App for Accessing ... 노트

PuffPal, an App for Accessing Cannabis Clubs, Leaked 1 Million Users’ Passports

Sammy Azdoufal은 칸나비스 클럽 회원들의 개인 정보와 소비 습관을 포함한 민감한 데이터가 적절한 보안 없이 저장되어 있음을 발견했습니다. 이 데이터는 의미 있는 보안 조치가 없는 스페인 앱 PuffPal을 통해 접근 가능했습니다. Azdoufal은 결제 플랫폼의 비밀 키를 일반 텍스트로 발견했으며, 단일 숫자를 변경하여 모든 회원의 프로필에 접근할 수 있었습니다. 결정적으로, 여권 및 운전 면허증과 같은 신분증이 공개 URL에 저장되어 쉽게 발견될 수 있었습니다. 이러한 안전하지 않은 링크를 통해 매일 수천 개의 새로운 신분증이 업로드되었습니다. Bruce Schneier는 칸나비스 클럽 ID 확인과 같은 저가치 인증 시스템에 여권과 같은 고가치 자격 증명을 사용하는 것이 상당한 위험을 초래한다고 강조합니다. 이 사건은 온라인 활동에 대한 연령 확인을 요구하는 법안 제안에 대한 경고 역할을 하며, 유사한 신원 정보 유출이 불가피한 결과임을 시사합니다. 노출된 취약점은 사소해 보이는 온라인 시스템에서도 보안이 얼마나 필수적인지를 보여줍니다.