PuffPal,一款用于访问大麻俱乐部的应用程序,泄露了 100 万用户的护照信息”
Sammy Azdoufal 发现属于大麻俱乐部会员的敏感数据,包括个人详情和消费习惯,被存储在不具备充分安全措施的系统中。这些数据可通过一款名为 PuffPal 的西班牙应用程序访问,该应用未实施任何有效的安全措施。Azdoufal 发现某支付平台的密钥以明文形式存储,并可通过修改单个数字访问任何会员的个人资料。尤为关键的是,护照和驾驶执照等身份证明文件被存储于公开 URL,极易被发现。每天通过这些不安全链接上传数千份新的身份证明文件。Bruce Schneier 指出,将高价值凭证(如护照)用于低价值认证系统(例如大麻俱乐部身份验证)会带来重大风险。该事件为拟议的、要求在线活动进行年龄验证的立法敲响了警钟,表明类似的身份泄露几乎是不可避免的后果。此次暴露的漏洞表明,即便是看似次要的在线系统,其安全性也至关重要。