Casi un millón de pasaportes europeos quedaron expuestos en internet sin protección

Fuentes: Nearly a million passports left exposed on the public internet for months

Una investigación de The Verge reveló que cerca de un millón de pasaportes y documentos de identidad de varios países europeos estuvieron accesibles públicamente en servidores web durante meses, sin contraseña ni cifrado, mediante simples URL. Los datos pertenecían a sistemas utilizados por clubes de cannabis y por la empresa Nefos, operadora de PuffPal, una plataforma de gestión de socios y verificación de edad para minoristas y clubes cannábicos en Europa.

El investigador de seguridad Sammy Azdoufal descubrió la exposición y alertó de su gravedad, señalando que los documentos serían revendidos y causarían daño a las víctimas. Las imágenes incluyen pasaportes completos, permisos de conducir con fotografía, nombres y números de identificación. Se trata de uno de los mayores incidentes de exposición de documentos de identidad de los últimos años.

A diferencia de una brecha tradicional, no hubo hackeo ni ataque: los archivos quedaron desprotegidos por una configuración deficiente, sin autenticación, sin cifrado y sin registro de accesos. El incidente recuerda al escándalo de Cambridge Analytica por la acumulación masiva de datos personales bajo una justificación legítima —en este caso, la verificación de edad— y un tratamiento negligente de la seguridad.

Los documentos fueron retirados tras la alerta, pero se desconoce cuánto tiempo permanecieron expuestos ni cuántas personas o sistemas automatizados pudieron descargarlos. Las autoridades europeas aún no se han pronunciado sobre posibles sanciones a Nefos o a los clubes afectados.