JBNews.id — Lebih dari 985.000 foto identitas pribadi pengunjung klub ganja di Spanyol ditemukan terpapar di internet publik tanpa perlindungan kata sandi. Data sensitif ini mencakup paspor, SIM, nomor telepon, alamat rumah, hingga preferensi konsumsi ganja bulanan.
Temuan ini diungkap oleh peneliti keamanan Sammy Azdoufal yang menggunakan alat otomatis untuk memindai kerentanan sistem milik perusahaan teknologi asal Irlandia, Cannabis Club Systems (CCS) atau Nefos Solutions. Azdoufal sebelumnya dikenal karena menemukan celah keamanan pada robot vakum DJI Romo dan jutaan kamera pengawas bayi.
Menurut laporan Azdoufal, data yang terekspos berasal dari sistem verifikasi yang digunakan oleh klub-klub ganja di Spanyol. Sistem ini memungkinkan resepsionis mengunggah foto KTP dan selfie pengunjung ke server cloud Nefos. Tanpa disadari, data tersebut disimpan di URL publik yang sangat mudah ditebak, seperti: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg.
“Kami harus melakukan sesuatu secepat mungkin, karena orang-orang akan menemukan ini dan menjualnya kembali. Ini akan menimbulkan kerusakan,” kata Azdoufal kepada The Verge pada Mei 2026.
Kerentanan Sistem PuffPal
Azdoufal menemukan celah keamanan setelah melakukan proses rekayasa balik (decompile) terhadap aplikasi bernama PuffPal. Aplikasi ini digunakan klub untuk mempercepat proses masuk pengunjung melalui pemindaian kode QR. Dari proses tersebut, ia menemukan bahwa Nefos tidak memiliki tingkat keamanan yang berarti.
Beberapa temuan kritis Azdoufal meliputi:
- Kunci rahasia untuk platform pembayaran Stripe ditemukan dalam teks biasa di dalam aplikasi
- Profil anggota dapat diakses hanya dengan mengubah satu angka pada URL
- Portal admin dapat diakses melalui internet publik
- Kata sandi akun klub ganja sangat lemah dan dapat diretas dalam hitungan menit menggunakan GPU modern
- Pesan obrolan pribadi antara klub dan anggota melalui aplikasi PuffPal juga rentan
Setiap hari, klub-klub tersebut mengunggah 5.000 foto identitas baru dengan URL yang tidak aman. Data yang terekspos tidak hanya berasal dari warga Spanyol, tetapi juga pengunjung dari seluruh dunia, termasuk 30.000 orang dari Amerika Serikat. Azdoufal menyebutkan bahwa selebritas juga termasuk dalam basis data tersebut.
“Mereka memiliki orang-orang terkenal. Orang-orang yang tidak ingin semua orang tahu mereka merokok ganja,” ujar Azdoufal.
Tanggapan dan Tindakan Perusahaan
Setelah dihubungi oleh The Verge, Nefos akhirnya mengambil tindakan berarti sekitar sebulan kemudian. Perusahaan mengumumkan akan menutup seluruh sistem PuffPal dan API yang rentan hingga diperbaiki. Dalam pengujian terbaru pada 10 Juni 2026, gambar paspor dan data pribadi tampak sudah diamankan.
Dalam wawancara telepon, salah satu pendiri Nefos, Andreas Nilsen, mengaku telah menghubungi Otoritas Perlindungan Data (DPC) Irlandia terkait kebocoran data ini. Juru bicara DPC, Evan O’Leary, mengonfirmasi hal tersebut melalui email.
“Kami harus berkomunikasi dengan semua orang yang berpotensi terpapar,” kata Nilsen. Ia berharap DPC dapat menunjukkan cara yang tepat untuk melakukan komunikasi tersebut.
Nilsen mengklaim belum ada bukti bahwa pihak luar selain Azdoufal yang mengakses data tersebut. Namun, respons Nefos dinilai terlalu lambat. Perusahaan baru merespons setelah lima hari dan ancaman publikasi berita.
Awalnya, Nefos hanya menambal lubang keamanan tanpa menghentikan operasional. Pada 4 Juni 2026, Azdoufal menemukan bahwa paspornya sendiri kembali terbuka secara online tanpa perlindungan. Hal ini terjadi karena klub-klub mengeluh bahwa gambar yang terkunci tidak muncul seperti biasanya, sehingga Nefos memilih untuk membuka kembali akses gambar tersebut.
“70 persen dari waktu gambar terkunci sejak kami dihubungi,” klaim Nilsen.
Pada 9 Juni 2026, Azdoufal kembali menemukan bahwa meskipun gambar paspor sudah diamankan dengan token, data lain dalam profil pengguna masih mudah diakses. Informasi seperti nomor paspor, nomor telepon, alamat email, dan alamat rumah bisa didapatkan hanya dengan perintah sederhana melalui command line. Celah ini kemudian ditutup setelah diberitahukan kepada Nefos.
Kesalahan Pengembangan dan Konsekuensi Hukum
Nilsen mengakui kesalahan berada di pihak perusahaannya, namun ia menuding pihak ketiga, yaitu perusahaan outsourcing 9Series, sebagai pengembang aplikasi PuffPal dan pembuat API yang rentan. Hingga berita ini diturunkan, 9Series belum memberikan tanggapan.
Saat ini, PuffPal sudah tidak beroperasi. Nefos mengirimkan email ke setiap klub untuk memberitahu bahwa anggota tidak bisa lagi menggunakan kode QR untuk masuk. Sebagai gantinya, klub masih bisa menarik data identitas dari server Nefos setelah memindai kartu RFID atau mengetikkan nomor telepon anggota.
Nilsen berjanji tidak akan meluncurkan kembali PuffPal yang tidak aman jika klub memintanya. “Kami akan memberi tahu mereka bahwa kami tidak bisa. Kami akan memastikan, setelah bencana ini, bahwa ini diverifikasi oleh peneliti keamanan independen dan menjamin bahwa ini 100 persen aman,” tegasnya.
Perusahaan berencana berpisah dengan 9Series dan berharap memiliki aplikasi baru dalam beberapa bulan ke depan. Nilsen juga sadar bahwa berdasarkan hukum Uni Eropa, perusahaannya secara hukum wajib mengungkapkan kebocoran dalam waktu 72 jam atau membayar denda besar. Hal ini tidak dilakukan perusahaan.
“Saya yakin kami akan mendapatkan hukuman apa pun yang ada,” ujar Nilsen.
Insiden ini terjadi hanya sebulan setelah Portal Visa Inggris dilaporkan mengekspos setidaknya 100.000 paspor kepada siapa pun yang bisa menebak URL. Kasus ini menjadi peringatan keras bagi industri teknologi untuk tidak mengorbankan keamanan data demi kenyamanan bisnis.
