Tæt på en million cannabis­klubmedlemmers data lækket

En alvorlig sikkerhedsbrist i en digital platform for cannabis-sociale klubber og kaffebarer har afsløret personlige data for tæt på en million medlemmer online i flere uger. Hændelsen vedrører CCS Nube, en SaaS-løsning udviklet af Cannabis Club Systems CCS, forretningsenheden i Irish Nefos Solutions Ltd, som bruges af 377 virksomheder i over 40 lande.

Sådan blev lækagen opdaget

Sikkerhedsforsker Sammy Azdoufal, der selv er medlem af en klub i Barcelona, opdagede fejlen i april 2026, efter at han downloadede klubbens valgfri PuffPal-app og gennemgik koden. Da han analyserede applikationen, så han, at backend-miljøet manglede grundlæggende beskyttelser. Ved at ændre numeriske identifikatorer forbundet med konti, var han i stand til at få adgang til andre medlemmers filer.

“Jeg skrev en loop. Jeg lod den køre hele natten. Næste morgen havde jeg 1.082.680 poster,” skrev Azdoufal i sin tekniske rapport.

Pas, kørekort og følsomme oplysninger

Den afslørede database skulle have indeholdt oplysninger om 1.082.680 registrerede medlemmer, hvoraf knap 986.000 var identitetsdokumenter som pas, nationale ID-kort og kørekort. Mere end 104.000 franske statsborgere er blandt de berørte, men listen rækker langt ud over Frankrig. Borgere fra Spanien, Italien, Frankrig, Sydafrika, Storbritannien, Tyskland og USA er bredt repræsenteret.

Oplysningerne var langt mere detaljerede end navne og kontaktoplysninger. Databasen kan også indeholde e-mailadresser, telefonnumre, postadresser, fødselsdatoer, nationaliteter, dokumentnumre og scannede kopier af identitetsdokumenter. Derudover var information om medlemmernes cannabisvaner åben, herunder rapporteret månedligt forbrug og yndlingsstammer.

Flere store fejl på samme tid

Forskeren fandt også andre alvorlige fejl: en hårdkodet Stripe-nøgle med fuld adgang til betalingskontoen, Firebase-id’er, der gav adgang til push-beskeder for 25.425 konti og 9.030 private beskeder mellem medlemmer og klubber, der kunne læses uden bekræftelse.

Ifølge rapporten blev billeder af identitetsdokumenter også gemt via forudsigelige offentlige URL’er uden adgangskontrol. Fem tusinde nye scanninger blev tilføjet dagligt under disse forhold.

Pres og GDPR-problemer

Azdoufal oplyser, at han advarede CCS allerede i april 2026, men at selskabet ikke reagerede i flere uger. Først da journalister begyndte at stille spørgsmål, tog sagen fart. Det rejser nu spørgsmål om overholdelse af GDPR, hvor organisationer normalt skal rapportere persondatahændelser inden for 72 timer.

CCS har nu begrænset adgangen til udsatte terminaler, midlertidigt lukket PuffPal og iværksat en intern undersøgelse. Ifølge virksomheden er flere sårbarheder allerede blevet rettet, og arbejdet fortsætter. Samtidig er der stadig ingen beviser for, at data rent faktisk er blevet misbrugt. For mange medlemmer er det en påmindelse om, hvor vigtig seriøs datasikkerhed er i en voksende, international cannabisindustri.