Een registratieplatform voor cannabisclus heeft kopieën van bijna één miljoen paspoorten gelekt, alsmede de persoonlijke en medische gegevens van meer dan een miljoen mensen. Het gaat onder andere om gegevens van zevenduizend Nederlanders. De informatie was voor iedereen op internet zonder enige authenticatie toegankelijk. In verschillende landen zijn cannisclubs actief waarvan leden cannabis kunnen aanschaffen. Leden moeten als onderdeel van de registratie hun naam, adresgegevens, telefoonnummer, e-mailadres, geboortedatum, nationaliteit en een scan hun paspoort of identiteitsbewijs verstrekken. Daarnaast wordt ook bijgehouden of het gebruik voor medicinale doeleinden is, wat medische informatie is.

Leden krijgen een fysieke ledenpas, maar er is ook een app genaamd PuffPal. De app genereert een qr-code die clubs kunnen scannen zodat gebruikers sneller toegang krijgen. Ook is het mogelijk om via de app bestellingen te plaatsen. De app leidde onderzoeker Sammy Azdoufal naar een API waar de backend van het registratieplatform gebruik van maakt. Het ging specifiek om de API van de gebruikersprofielen, die een IDOR-kwetsbaarheid bleek te bevatten.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.

De user_id parameter waar de API gebruik van maakt was een opeenvolgend getal. Verder was er geen authenticatie token, session cookie of API key vereist. De onderzoeker kon via de API, en alleen door het aanpassen van een getal, gegevens van meer dan een miljoen leden opvragen. Naast de eerder genoemde registratiegegevens ging het ook om het maandelijkse cannabisgebruik en cannabisvoorkeuren.

In de onderliggende infrastructuur, waar de app en de webapplicatie voor cannabisclubs gebruik van maken, vond de onderzoeker nog een ander groot probleem. Tijdens de registratie bij de cannabisclub wordt de foto van het nieuwe lid geupload naar de server waarop het registratieplatform draait. De afbeelding wordt op een voorspelbare locatie opgeslagen. Deze url is zonder toegangstoken of andere vorm van authenticatie voor iedereen op internet toegankelijk. "Het meest gevoelige bestand in het hele system, het bestand dat bewijst wie je bent, was het minst beveiligde bestand", aldus Azdoufal. De onderzoeker ontdekte dat door het beveiligingsprobleem bijna 986.000 foto's van paspoorten waren te downloaden.

Daarnaast trof Azdoufal ook nog allerlei andere beveiligingsproblemen met het platform aan. De onderzoeker onderzocht de publiek toegankelijke informatie en ontdekte dat die ook de gegevens van zo'n zevenduizend Nederlanders en bijna achtduizend Belgen bevat. Bij meer dan een miljoen leden stond ook vermeld dat het cannabisgebruik voor medicinale doeleinden was. Het betreft hierdoor gezondheidsgegevens, die onder de AVG extra beschermd zijn, aldus de onderzoeker. Die stelt dat hij de betreffende softwareontwikkelaar eind april herhaaldelijk had gemaild dat er een probleem was, maar er geen reactie kwam. De onderzoeker stapte vervolgens naar The Verge, waarna het bedrijf in beweging kwam. Op 10 juni meldde de softwareontwikkelaar dat alle problemen waren verholpen.