Uma grave falha de segurança expôs na internet os dados pessoais de quase um milhão de associados de clubes de cannabis na Espanha. Entre as informações vazadas estavam documentos de identidade, passaportes, carteiras de motorista, números de telefone, endereços residenciais e até registros relacionados aos hábitos de consumo de cannabis dos usuários.

A vulnerabilidade foi descoberta por um pesquisador independente de segurança digital e afetou membros de centenas de associações cannábicas que utilizavam um software de gestão amplamente adotado no país. Segundo a investigação, o incidente também atingiu pessoas com projeção pública que mantinham em sigilo sua relação com os clubes e seus padrões de consumo.

Falha em software de gestão

Os clubes de cannabis espanhóis costumam utilizar plataformas digitais para controlar o acesso de associados, registrar retiradas de produtos e administrar questões financeiras. Grande parte dessas entidades utiliza um sistema desenvolvido pela empresa irlandesa Cannabis Club Systems (CCS), anteriormente conhecida como Nefos Solutions.

Além do gerenciamento interno, a empresa oferecia uma ferramenta de verificação de identidade que permitia aos recepcionistas fotografar documentos dos associados e armazená-los nos servidores da companhia. O objetivo era agilizar futuras visitas e processos de identificação. A CCS também disponibilizava o aplicativo PuffPal, que permitia o acesso aos clubes por meio de códigos QR.

Quase um milhão de arquivos expostos

De acordo com a investigação divulgada pelo portal norte-americano The Verge, os documentos eram armazenados em endereços da internet sem qualquer proteção adequada. As imagens ficavam disponíveis em links previsíveis e sem necessidade de senha ou autenticação, permitindo que qualquer pessoa com conhecimentos técnicos básicos pudesse acessá-las.

Embed from Getty Images

Vazamento expôs documentos e dados de associados de clubes de cannabis na Espanha (Foto: Reprodução/Barry Winiker/Getty Images Embed)

O pesquisador responsável pela descoberta identificou aproximadamente 985 mil arquivos expostos. Além das cópias dos documentos pessoais, os perfis continham endereços de e-mail, telefones, dados residenciais e informações sobre as variedades de cannabis consumidas pelos associados, bem como a frequência de visitas aos clubes.

Outras brechas ampliaram os riscos

A análise também revelou falhas adicionais no aplicativo PuffPal. Segundo o relatório, uma chave secreta vinculada ao sistema de pagamentos da plataforma estava armazenada sem proteção adequada, o que poderia permitir acesso indevido ao painel administrativo utilizado pelos clubes. Mensagens privadas trocadas entre associações e associados também ficaram vulneráveis, assim como diversos perfis de usuários.

Após ser procurada pela imprensa, a empresa decidiu desativar o aplicativo em meados de junho, notificou a Autoridade Irlandesa de Proteção de Dados e comunicou aos clubes o encerramento do sistema de acesso por QR Code. Andreas Nilsen, cofundador da companhia, reconheceu que houve descumprimento das normas europeias de proteção de dados, que exigem a comunicação de incidentes desse tipo em até 72 horas.

Embora tenha atribuído parte dos problemas técnicos a uma empresa terceirizada responsável pelo desenvolvimento do aplicativo, afirmou que a responsabilidade final é da própria CCS. A empresa declarou não possuir evidências de que terceiros tenham acessado os dados, mas informou que o sistema só voltará a operar após uma auditoria independente de segurança.