Connect with us

Datalek: een miljoen leden van Cannabis Clubs online blootgesteld

Published

on

De cannabisclubs van Barcelona lopen gevaar
Volg ons op Facebook

Bijna een miljoen leden van cannabis social clubs en coffeeshops hebben hun persoonsgegevens gedurende meerdere weken op internet blootgesteld zien staan.

PUBLICITE

Het lek is afkomstig van CCS Nube, het SaaS-platform dat is ontwikkeld door Cannabis Club Systems (CCS), een commerciële entiteit van het Ierse bedrijf Nefos Solutions Ltd, dat door 377 vestigingen in meer dan 40 landen wordt gebruikt voor het beheer van lidmaatschappen, identiteiten en transacties.

Het was Sammy Azdoufal, onderzoeker op het gebied van cyberbeveiliging en zelf lid van een club in Barcelona, die het lek in april 2026 ontdekte nadat hij de optionele mobiele app van zijn club, PuffPal, en de code daarvan te hebben gedecompileerd.

De blootgestelde database zou informatie hebben bevat over 1 082 680 geregistreerde leden, waaronder bijna 986 000 identiteitsdocumenten zoals paspoorten, nationale identiteitskaarten en rijbewijzen. Meer dan 104.000 Franse burgers behoren tot de getroffen gebruikers.

Enkele van de bekendste clubs in de sector staan in de database, waaronder de Bulldog in Amsterdam met 53.011 profielen, of de Strain Hunters in Barcelona, de Choko, de Firehouse of de Selva.

PUBLICITE
Statistieken van het datalek

Statistieken van het datalek zijn

Hoe de kwetsbaarheid werd ontdekt

Het probleem kwam aan het licht nadat Azdoufal, zelf lid van een sociale cannabisclub in Barcelona, de optionele mobiele app PuffPal had onderzocht, die door CCS was ontwikkeld om de inschrijvingen bij de club en het ledenbeheer te vergemakkelijken.

Bij het analyseren van de code van de app ontdekte hij dat de backend-infrastructuur geen basisbeveiligingscontroles had. Door simpelweg de numerieke identificatiecodes van de gebruikersaccounts te wijzigen, kreeg hij toegang tot de persoonlijke dossiers van andere leden.

„Ik heb een lus geschreven. Die heb ik de hele nacht laten draaien. De volgende ochtend had ik 1.082.680 records”, schreef Azdoufal in zijn technisch rapport.

De kwetsbaarheid had niet alleen gevolgen voor gebruikers van PuffPal. Volgens de onderzoeker waren de blootgestelde gegevens afkomstig van CCS Nube, het centrale platform dat door de clubs wordt gebruikt voor het beheer van lidmaatschappen, identiteitscontrole, berichtenverkeer en betalingen. Daardoor konden ook de gegevens van mensen die de mobiele app nooit hadden gedownload, openbaar zijn geworden.

PUBLICITE

Foto’s van identiteitsdocumenten werden opgeslagen op voorspelbare openbare URL’s, zonder enige vorm van toegangscontrole. Dagelijks werden onder deze omstandigheden vijfduizend nieuwe scans toegevoegd.

Tegelijkertijd werden nog andere kwetsbaarheden vastgesteld: een geheime Stripe-sleutel (volledige toegang tot de betaalrekening) die hard gecodeerd was in de APK van de app, blootgestelde Firebase-inloggegevens waarmee toegang kon worden verkregen tot de pushmeldingstokens van 25.425 accounts, en 9.030 privéberichten tussen leden en clubs die zonder eigendomsverificatie toegankelijk waren.

Gevoelige informatie met betrekking tot cannabisgebruik

De gelekte informatie reikte veel verder dan louter contactgegevens.

Volgens het onderzoek van Next.ink, konden de blootgestelde profielen namen, e-mailadressen, telefoonnummers, postadressen, geboortedata, nationaliteiten, identiteitsnummers en gescande kopieën van paspoorten of identiteitskaarten bevatten.

De database bevatte ook informatie over het cannabisgebruik van de leden, waaronder de opgegeven maandelijkse consumptiehoeveelheden en favoriete soorten.

„De fysieke uitsmijter bij de ingang controleert je lidmaatschapskaart. De digitale uitsmijter was er echter niet”, vatte Azdoufal samen.

De verdeling per nationaliteit van de betrokken gebruikers onderstreept het internationale karakter van de leden van de Clubs. De grootste groepen betrokken leden bestonden uit Spanjaarden, Italianen, Fransen, Zuid-Afrikanen, Britten, Duitsers en Amerikanen.

Dit datalek baart ook zorgen bij burgers van landen waar cannabis nog steeds zwaar strafbaar is. De onderzoeker merkte op dat de database leden bevatte met paspoorten van landen als Saoedi-Arabië, Koeweit en de Verenigde Arabische Emiraten, waar overtredingen in verband met cannabis ernstige juridische gevolgen kunnen hebben.

Vragen over de naleving van de AVG

De afhandeling van dit incident is duidelijk voor kritiek vatbaar. Volgens Azdoufal heeft hij CCS in april 2026 voor het eerst gewaarschuwd, maar ondanks herhaalde pogingen om contact op te nemen met het bedrijf, heeft hij wekenlang geen reactie ontvangen.

Next.ink en The Verge hebben beide gemeld dat er pas serieus actie werd ondernomen nadat journalisten zich ermee hadden bemoeid en de publicatie van de bevindingen op handen leek te zijn. Volgens de regels van de AVG moeten organisaties doorgaans binnen 72 uur nadat zij kennis hebben genomen van een inbreuk op persoonsgegevens de bevoegde toezichthoudende autoriteiten hiervan op de hoogte stellen.

In een gesprek met The Verge erkende Andreas Nilsen, medeoprichter van CCS, de ernst van de situatie en verklaarde hij dat het bedrijf samenwerkt met de Ierse gegevensbeschermingscommissie.

„We moeten contact opnemen met alle personen die mogelijk zijn blootgesteld”, verklaarde de heer Nilsen aan de krant.

Op het moment van schrijven waren de verantwoordelijken van de clubs die wij konden ondervragen nog niet op de hoogte van het datalek.

Noodmaatregelen en lopend onderzoek

Naar aanleiding van de openbaarmaking van de kwetsbaarheden is CCS begonnen met het doorvoeren van corrigerende maatregelen. Volgens verklaringen aan verschillende media heeft het bedrijf de toegang tot de kwetsbare terminals beperkt, de PuffPal-app tijdelijk uitgeschakeld en een intern onderzoek ingesteld.

De technisch directeur van het bedrijf, Sean Nilsen, verklaarde tegenover de media dat verschillende kwetsbaarheden al waren verholpen en dat de herstelwerkzaamheden worden voortgezet.

„Wij nemen de beveiliging en de bescherming van persoonsgegevens zeer serieus”, aldus de heer Nilsen.

Onafhankelijke tests die op 10 juni door Azdoufal werden uitgevoerd, wezen erop dat enkele van de meest kritieke kwetsbaarheden, waaronder voor het publiek toegankelijke afbeeldingen van identiteitsdocumenten, uiteindelijk waren beveiligd.

Tot op heden is er geen bewijs gevonden van kwaadwillige gegevensonttrekking. Betrokken leden kunnen hun recht op inzage (artikel 15) en het recht op verwijdering (artikel 17) uitoefenen bij hun club en een klacht indienen bij hun nationale gegevensbeschermingsautoriteit.

Aurélien richtte Newsweed op in 2015. Hij is vooral geïnteresseerd in internationale regelgeving en de verschillende cannabismarkten en heeft ook een uitgebreide kennis van de plant en het gebruik ervan.

Websites van partners

Koop de beste gefeminiseerde cannabiszaden van Original Sensible Seeds, inclusief hun vlaggenschip Bruce Banner #3.

Trending

Vind ons op logo Google NewsNewsEn elders :Newsweed FranceNewsweed ItaliaNewsweed EspañaNewsweed PortugalNewsweed Deutschland

Newsweed is de toonaangevende bron van legale cannabisinformatie in Europa - © Newsweed