El investigador de seguridad Sammy Azdoufal descubrió más de 985.000 documentos de identidad —pasaportes, carnés de conducir y selfies— almacenados sin ningún tipo de contraseña ni control de acceso en URLs públicas. La filtración afectaba a los usuarios de clubes de cannabis en España, incluidos 30.000 visitantes estadounidenses y personas famosas, según Azdoufal, ya que los datos incluían teléfono, domicilio y preferencias de consumo.
Los documentos pertenecían a clientes de clubes que usan el software de la empresa irlandesa Nefos Solutions (Cannabis Club Systems) y su aplicación PuffPal. Azdoufal, al descompilar la app, halló una clave secreta de Stripe en texto plano, la posibilidad de acceder a cualquier perfil de miembro con tan solo cambiar un número y un panel de administración accesible desde internet. Cada día se subían 5.000 nuevas identificaciones a esas URL inseguras.
Tras la notificación, Nefos asegura haber cerrado las vulnerabilidades y haberse puesto en contacto con la Autoridad de Protección de Datos de Irlanda. La compañía afirma que no hay pruebas de que nadie ajeno al investigador accediera a los datos. No obstante, Nefos tardó más de 72 horas en reaccionar —incumpliendo el plazo legal europeo— y desbloqueó las imágenes temporalmente para no perjudicar a los clubes. El cofundador Andreas Nilsen reconoció la responsabilidad de la empresa y anunció que prescindirá del proveedor 9Series, al que señala como responsable del desarrollo de la app. El incidente coincide con otra filtración reciente de 100.000 pasaportes en el UK Visa Portal.