Nära en miljon medlemmars data från cannabisklubbar läckte ut
Nästan en miljon klubbmedlemmars data läckte via CCS Nube. Pass, id-kort och meddelanden låg öppet i flera veckor.
En allvarlig säkerhetsbrist hos en digital plattform för cannabis social clubs och coffee shops har exponerat personuppgifter för nära en miljon medlemmar på nätet i flera veckor. Händelsen rör CCS Nube, en SaaS-lösning utvecklad av Cannabis Club Systems CCS, affärsenheten inom irländska Nefos Solutions Ltd, som används av 377 verksamheter i över 40 länder.
Så upptäcktes läckan
Säkerhetsforskaren Sammy Azdoufal, som själv är medlem i en klubb i Barcelona, upptäckte felet i april 2026 efter att han laddat ner klubbens valfria app PuffPal och granskat koden. När han analyserade applikationen såg han att backend-miljön saknade grundläggande skydd. Genom att ändra numeriska identifierare kopplade till konton kunde han komma åt andra medlemmars filer.
”Jag skrev en loop. Jag lät den gå hela natten. Nästa morgon hade jag 1 082 680 poster”, skrev Azdoufal i sin tekniska rapport.
Pass, körkort och känsliga uppgifter
Den exponerade databasen ska ha innehållit uppgifter om 1 082 680 registrerade medlemmar, varav nästan 986 000 identitetsdokument som pass, nationella id-kort och körkort. Mer än 104 000 franska medborgare finns bland de drabbade, men listan sträcker sig långt utanför Frankrike. Spaniens, Italiens, Frankrikes, Sydafrikas, Storbritanniens, Tysklands och USA:s medborgare finns representerade i stor omfattning.
Uppgifterna var långt mer detaljerade än namn och kontaktinfo. Databasen kunde även innehålla e-postadresser, telefonnummer, postadresser, födelsedatum, nationaliteter, dokumentnummer och skannade kopior av identitetshandlingar. Dessutom låg information om medlemmarnas cannabisvanor öppet, inklusive uppgiven månadskonsumtion och favoritsorter.
Flera stora brister samtidigt
Forskaren hittade också andra allvarliga fel: en hårdkodad Stripe-nyckel med full tillgång till betalkontot, Firebase-identifierare som gav åtkomst till pushnotiser för 25 425 konton och 9 030 privata meddelanden mellan medlemmar och klubbar som gick att läsa utan verifiering.
Enligt rapporteringen lagrades även bilder på identitetshandlingar via förutsägbara offentliga webbadresser, utan åtkomstkontroll. Fem tusen nya skanningar lades till dagligen under dessa förhållanden.
Påtryckningar och GDPR-frågor
Azdoufal uppger att han varnade CCS redan i april 2026, men att bolaget inte svarade på flera veckor. Först när journalister började ställa frågor tog ärendet fart. Det väcker nu frågor om efterlevnad av GDPR, där organisationer normalt ska rapportera personuppgiftsincidenter inom 72 timmar.
CCS har nu begränsat åtkomsten till exponerade terminaler, tillfälligt stängt PuffPal och inlett en intern utredning. Enligt bolaget har flera sårbarheter redan patchats, och arbetet fortsätter. Samtidigt finns ännu inga bevis för att data faktiskt har missbrukats. För många medlemmar är det en påminnelse om hur viktigt det är med seriös datasäkerhet i en växande, internationell cannabisbransch.
