Gairebé un milió de documents d'identitat, passaports, DNIs i carnet, de membres de clubs cannàbics d'Espanya van quedar a internet sense cap contrasenya. La filtració es va produïr via un problema amb el software de gestió que fan servir aquests clubs.
En donar-te d'alta, el club demana document + selfie per verificar identitat i edat, i ho puja al núvol de Cannabis Club Systems (CCS, abans Nefos), empresa irlandesa que gestiona altes, vendes i comptabilitat de molts clubs.
Les imatges es desaven en URLs predictibles (ccsnubev2[.]com/.../ID/{id}-front.jpg) i l'API tenia un problema bàsic (IDOR): l'identificador d'usuari era un número correlatiu, sense cap autenticació. Canviant el número sortia el perfil sencer de qualsevol.
Un investigador, Sammy Azdoufal, va iterar tots els identificadors durant una nit: 1.082.680 registres, 985.000 escanejos. Els clubs pujaven ~5.000 docs nous al dia.

Aqeusta filtració és especialment greu perquè la pertinença a un club cannàbic és dada de salut (categoria especial, RGPD).

Font: https://www.theverge.com/tech/947157/passports-data-breach-cannabis-club-systems-nefos-puffpal