Connect with us

Datenleck: Eine Million Mitglieder von Cannabis-Clubs im Internet bloßgestellt

Published

on

Die Cannabis-Clubs in Barcelona sind in Gefahr
Folge uns auf Facebook

Bei fast einer Million Mitgliedern von Cannabis Social Clubs und Coffee Shops waren ihre personenbezogenen Daten mehrere Wochen lang im Internet einsehbar.

PUBLICITE

Die Datenpanne geht auf CCS Nube zurück, die von Cannabis Club Systems (CCS), einer Geschäftseinheit des irischen Unternehmens Nefos Solutions Ltd, entwickelt wurde und von 377 Einrichtungen in über 40 Ländern zur Verwaltung von Mitgliedschaften, Identitäten und Transaktionen genutzt wird.

Es war Sammy Azdoufal, ein Cybersicherheitsforscher und selbst Mitglied eines Clubs in Barcelona, der die Sicherheitslücke im April 2026 entdeckte, nachdem er die optionale mobile App seines Clubs, PuffPal, heruntergeladen und deren Code dekompiliert hatte.

Die offengelegte Datenbank soll Informationen zu 1.082.680 registrierten Mitgliedern enthalten haben, darunter fast 986.000 Ausweisdokumente wie Reisepässe, nationale Personalausweise und Führerscheine. Mehr als 104.000 französische Staatsbürger gehören zu den betroffenen Nutzern.

Zu den in der Datenbank aufgeführten Clubs gehören einige der bekanntesten der Branche, darunter der Bulldog in Amsterdam mit 53.011 Profilen sowie der Strain Hunters in Barcelona, der Choko, das Firehouse oder das Selva.

PUBLICITE
Statistiken zum Datenleck

Statistiken zum Datenleck sind

Wie die Sicherheitslücke entdeckt wurde

Das Problem kam ans Licht, nachdem Azdoufal, selbst Mitglied eines Cannabis-Clubs in Barcelona, die optionale mobile App PuffPal untersuchte, die von CCS entwickelt wurde, um die Anmeldung zum Club und die Mitgliederverwaltung zu vereinfachen.

Bei der Analyse des App-Codes stellte er fest, dass der Backend-Infrastruktur grundlegende Sicherheitskontrollen fehlten. Durch einfaches Ändern der den Benutzerkonten zugeordneten numerischen Kennungen gelangte er an die persönlichen Daten anderer Mitglieder.

„Ich habe eine Schleife geschrieben. Die habe ich die ganze Nacht laufen lassen. Am nächsten Morgen hatte ich 1.082.680 Datensätze“, schrieb Azdoufal in seinem technischen Bericht.

Die Sicherheitslücke betraf nicht nur die Nutzer von PuffPal. Dem Forscher zufolge stammten die offengelegten Daten von CCS Nube, der zentralen Plattform, die von den Clubs zur Verwaltung von Mitgliedschaften, Identitätsprüfungen, Nachrichtenversand und Zahlungen genutzt wird. Daher könnten auch die Daten von Personen offengelegt worden sein, die die mobile App nie heruntergeladen haben.

PUBLICITE

Die Fotos von Ausweisdokumenten wurden unter vorhersehbaren öffentlichen URLs gespeichert, ohne jegliche Zugriffskontrolle. Unter diesen Umständen wurden täglich fünftausend neue Scans hinzugefügt.

Parallel dazu wurden weitere Sicherheitslücken identifiziert: ein geheimer Stripe-Schlüssel (vollständiger Zugriff auf das Zahlungskonto), der fest in der APK der App hinterlegt war, offengelegte Firebase-Anmeldedaten, die den Zugriff auf die Push-Benachrichtigungstoken von 25.425 Konten ermöglichten, sowie 9.030 private Nachrichten zwischen Mitgliedern und Clubs, auf die ohne Eigentumsüberprüfung zugegriffen werden konnte.

Sensible Informationen im Zusammenhang mit dem Cannabiskonsum

Die offengelegten Informationen gingen weit über einfache Kontaktdaten hinaus.

Laut der Untersuchung von Next.ink konnten die offengelegten Profile Namen, E-Mail-Adressen, Telefonnummern, Postanschriften, Geburtsdaten, Staatsangehörigkeiten, Ausweisnummern sowie gescannte Kopien von Reisepässen oder Personalausweisen enthalten.

Die Datenbank enthielt zudem Informationen zu den Cannabiskonsumgewohnheiten der Mitglieder, darunter die angegebenen monatlichen Konsummengen und die bevorzugten Sorten.

„Der physische Türsteher am Eingang überprüft Ihre Mitgliedskarte. Der digitale Türsteher hingegen war nicht da“, fasste Azdoufal zusammen.

Die Aufschlüsselung der betroffenen Nutzer nach Nationalität verdeutlicht den internationalen Charakter der Clubmitglieder. Die größten Gruppen der betroffenen Mitglieder waren spanische, italienische, französische, südafrikanische, britische, deutsche und US-amerikanische Staatsangehörige.

Dieser Datenleck weckt auch Besorgnis bei Bürgern aus Ländern, in denen Cannabis nach wie vor streng unter Strafe steht. Der Forscher stellte fest, dass die Datenbank Mitglieder mit Pässen aus Ländern wie Saudi-Arabien, Kuwait und den Vereinigten Arabischen Emiraten enthielt, in denen Verstöße im Zusammenhang mit Cannabis schwerwiegende rechtliche Konsequenzen nach sich ziehen können.

Fragen zur Einhaltung der DSGVO

Der Umgang mit diesem Vorfall ist offensichtlich kritikwürdig. Laut Azdoufal habe er CCS bereits im April 2026 alarmiert, aber trotz mehrfacher Versuche, das Unternehmen zu kontaktieren, mehrere Wochen lang keine Antwort erhalten.

Next.ink und The Verge berichteten beide, dass erst nach dem Eingreifen von Journalisten und als die Veröffentlichung der Ergebnisse unmittelbar bevorzustehen schien, nennenswerte Maßnahmen ergriffen wurden. Gemäß den Bestimmungen der DSGVO müssen Organisationen die zuständigen Aufsichtsbehörden in der Regel innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen.

Im Gespräch mit The Verge räumte der Mitbegründer von CCS, Andreas Nilsen, die Schwere der Situation ein und erklärte, das Unternehmen arbeite mit der irischen Datenschutzkommission zusammen.

„Wir müssen alle potenziell betroffenen Personen benachrichtigen“, erklärte Nilsen gegenüber der Zeitung.

Zum Zeitpunkt der Erstellung dieses Artikels waren die Verantwortlichen der Clubs, die wir befragen konnten, über den Datenleck noch nicht informiert.

Sofortmaßnahmen und laufende Untersuchung

Nach der öffentlichen Bekanntgabe der Sicherheitslücken hat CCS damit begonnen, Abhilfemaßnahmen umzusetzen. Laut Aussagen gegenüber mehreren Medien hat das Unternehmen den Zugriff auf die betroffenen Endgeräte eingeschränkt, die PuffPal-App vorübergehend geschlossen und eine interne Untersuchung eingeleitet.

Der technische Leiter des Unternehmens, Sean Nilsen, erklärte gegenüber den Medien, dass mehrere Sicherheitslücken bereits behoben worden seien und die Abhilfemaßnahmen fortgesetzt würden.

„Wir nehmen die Sicherheit und den Schutz personenbezogener Daten sehr ernst“, sagte Nilsen.

Unabhängige Tests, die Azdoufal am 10. Juni durchführte, deuteten darauf hin, dass einige der kritischsten Sicherheitslücken, darunter öffentlich zugängliche Bilder von Ausweisdokumenten, schließlich behoben worden waren.

Bislang gibt es keine Hinweise auf eine böswillige Datenextraktion. Betroffene Mitglieder können ihre Rechte auf Auskunft (Artikel 15) und Löschung (Artikel 17) bei ihrem Verein geltend machen und eine Beschwerde bei ihrer nationalen Datenschutzbehörde einreichen.

Sweet Seeds

Partnerseite

Kaufen Sie die besten feminisierten Cannabis-Samen von Original Sensible Seeds, einschließlich ihrer Flaggschiff-Sorte Bruce Banner #3.

Trending

Wiedersehen beilogo Google NewsNewsUnd in anderen Sprachen:Newsweed FranceNewsweed ItaliaNewsweed EspañaNewsweed NederlandNewsweed Portugal

Bubatznews wird von Newsweed betrieben, der führenden Informationsquelle für legale und globale Cannabis-Nachrichten in Europa. - © Newsweed