Nội dung bài viết
Các bài đăng từ chủ đề này sẽ được thêm vào thông báo email hàng ngày và nguồn cấp dữ liệu trang chủ của bạn. Các bài đăng từ chủ đề này sẽ được thêm vào thông báo email hàng ngày và nguồn cấp dữ liệu trang chủ của bạn.
Các bài đăng từ chủ đề này sẽ được thêm vào thông báo email hàng ngày và nguồn cấp dữ liệu trang chủ của bạn. Các bài đăng của tác giả này sẽ được thêm vào thông báo email hàng ngày và nguồn cấp dữ liệu trang chủ của bạn.
Các bài đăng của tác giả này sẽ được thêm vào thông báo email hàng ngày và nguồn cấp dữ liệu trang chủ của bạn. Nhập một vài chữ cái và số vào trình duyệt web của mình, tôi thấy mình đang há hốc mồm trước giấy tờ tùy thân của những người hoàn toàn xa lạ.
Hộ chiếu của một phụ nữ trẻ đến từ Đức. Hộ chiếu của một người đàn ông đến từ Tây Ban Nha với cặp kính trên đầu.
Mặt trước và mặt sau bằng lái xe của một người đàn ông khác, trên khuôn mặt anh ta có một biểu cảm ngốc nghếch theo khuôn mẫu. Tất cả họ đều không được bảo vệ tại các URL công khai, không có mật khẩu hoặc quyền kiểm soát truy cập dưới bất kỳ hình thức nào.
Nếu tôi gửi cho bạn một liên kết, bạn có thể đã xem hộ chiếu của ai đó. Sammy Azdoufal nói với tôi vào tháng 5: “Chúng ta phải làm điều gì đó càng nhanh càng tốt, bởi vì mọi người sẽ tìm thấy thứ này và bán lại.
Nó sẽ gây thiệt hại”. Azdoufal là nhà nghiên cứu bảo mật đã sử dụng Claude Code để giúp phát hiện ra rằng mọi robot hú...
Aner và hàng triệu màn hình trẻ em và camera an ninh dễ bị hack một cách đáng xấu hổ. Lần này, anh ấy nói rằng anh ấy đã phát hiện ra hơn 985.000 ID có ảnh trên mạng Internet công cộng để bất kỳ hacker nửa vời nào có thể đánh cắp.
Azdoufal cho biết, nếu bạn đã đến thăm một câu lạc bộ cần sa ở Tây Ban Nha, rất có thể giấy tờ tùy thân có ảnh của bạn nằm trong số đó, và có thể cả số điện thoại, địa chỉ, loại cần sa yêu thích của bạn và số lượng bạn tiêu thụ mỗi tháng khi ở đó.
Azdoufal cho biết những người nổi tiếng cũng có trong cơ sở dữ liệu và du khách từ khắp nơi trên thế giới, trong đó có 30.000 người từ Hoa Kỳ. “Họ có những người nổi tiếng,” Azdoufal nói.
“Những người không muốn mọi người biết họ hút cần sa.” Đây là bản tóm tắt sơ bộ về cơ sở người dùng mà công cụ tự động của Azdoufal có thể xem và tên của một số câu lạc bộ: Không phải câu lạc bộ nào không bảo vệ những tài liệu nhận dạng này.
Một công ty Ireland có tên là Cannabis Club Systems (CCS), chính thức là Nefos Solutions, phát triển và cung cấp phần mềm mà các câu lạc bộ này sử dụng để bán hàng, kế toán và tuyển sinh, bao gồm cả hệ thống xác minh nơi nhân viên tiếp tân tải ID và ảnh tự chụp của bạn lên đám mây của Nefos.
Theo truyền thống, bạn cần cung cấp giấy tờ tùy thân có ảnh mỗi lần bạn muốn t vào một câu lạc bộ. Nhưng với hệ thống xác minh, nhân viên lễ tân có thể lấy tài liệu nhận dạng được lưu trữ của bạn và kiểm tra xem khuôn mặt của bạn có khớp hay không.
Ngoài ra còn có một ứng dụng tùy chọn có tên PuffPal cho phép các câu lạc bộ quét mã QR để vào nhanh hơn. Nhưng khi Azdoufal giải mã ứng dụng PuffPal đó, anh ấy giải thích trong báo cáo của mình, anh ấy phát hiện ra rằng Nefos không có mức độ bảo mật đáng kể.
Anh ấy đã phát hiện ra một khóa bí mật dành cho nền tảng thanh toán Stripe nằm bên trong ứng dụng ở dạng văn bản thuần túy. Anh ấy phát hiện ra rằng mình có thể xem hồ sơ của bất kỳ thành viên nào chỉ bằng cách thay đổi một con số.
Nếu những hồ sơ đó bao gồm số điện thoại, địa chỉ nhà, hộ chiếu và sở thích của họ thì giờ đây anh cũng có quyền truy cập vào chúng.
Và sau đó, anh ấy phát hiện ra rằng những hộ chiếu, giấy phép lái xe và ID ảnh đó được lưu trữ tại các URL công khai đơn giản như sau: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg Azdoufal cho tôi biết những câu lạc bộ đó đã tải lên 5.000 ID ảnh mới với các URL không an toàn này mỗi ngày.
Anh ấy cũng tìm thấy một cổng quản trị có thể truy cập được qua internet công cộng, và các câu lạc bộ cần sa có mức độ bảo mật không đáng kể đối với tài khoản của họ, sử dụng mật khẩu mà về mặt lý thuyết có thể bị bẻ khóa trong vài phút bằng GPU hiện đại.
riêng tư Tin nhắn trò chuyện giữa các câu lạc bộ và thành viên thông qua ứng dụng PuffPal cũng dễ bị tấn công. Tin tốt: khoảng một tháng sau khi chúng tôi liên hệ với Nefos, công ty dường như cuối cùng đã có những hành động có ý nghĩa.
Công ty cho biết họ sẽ tắt toàn bộ hệ thống PuffPal và các API dễ bị tấn công cho đến khi chúng được khắc phục, trong các thử nghiệm mới nhất của Azdoufal vào ngày 10 tháng 6, hình ảnh hộ chiếu và dữ liệu cá nhân dường như được bảo mật.
Nefos cũng đã thông báo cho chính quyền địa phương và cho biết họ sẽ chịu trách nhiệm khắc phục, nộp phạt và thông báo cho người dùng những gì đã xảy ra.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.