Fast eine Million Cannabis-Club-Nutzerdaten durch Sicherheitslücke öffentlich zugänglich
Fast eine Million Identitätsdokumente von Cannabis-Club-Nutzern wurden durch eine Sicherheitslücke bei Cannabis Club Systems und PuffPal öffentlich zugänglich.
Key Points
- 1985.000 Identitätsdokumente durch öffentlich zugängliche URLs offengelegt
- 2Betroffen sind Dokumente wie Ausweise, Pässe, Selfies und persönliche Konsumdaten
- 3Nefos Solutions musste Datenschutzverletzung gemäß DSGVO melden
- 4PuffPal-App wurde vorübergehend deaktiviert und wird erst nach Sicherheitsprüfung wieder freigegeben
- 5Sicherer Umgang mit sensiblen Nutzerdaten ist in der Cannabis-Branche zwingend erforderlich
Nahezu 985.000 Identitätsdokumente von Nutzern in Cannabis-Clubs wurden über öffentlich zugängliche URLs offengelegt, wie eine Untersuchung ergab. Die betroffenen Daten stammen von der Software Cannabis Club Systems (CCS) und der App PuffPal, die von zahlreichen Clubs weltweit eingesetzt werden. Die Sicherheitslücke bestand darin, dass sensible Daten ohne Passwortschutz und mit vorhersehbaren Webadressen abrufbar waren.
Die offengelegten Informationen umfassen neben Fotos von Ausweisen und Pässen auch Selfies, Kontaktangaben sowie Angaben zum Konsumverhalten. Besonders brisant ist, dass diese Daten nicht nur Mitglieder, sondern auch Besucher und Mitarbeiter betreffen. Der irische Anbieter Nefos Solutions, hinter CCS, wurde aufgefordert, die Vorfälle den Datenschutzbehörden zu melden, da eine Verletzung der EU-Datenschutz-Grundverordnung (DSGVO) vorliegt.
Die DSGVO schreibt vor, Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden, der zuständigen Aufsichtsbehörde zu melden. Nefos Solutions hat nach Bekanntwerden der Sicherheitslücke die PuffPal-App vorübergehend deaktiviert und eine Untersuchung eingeleitet. Der Mitgründer Andreas Nilsen erklärte, dass die Verantwortung letztlich bei Nefos liege und man die App nur nach einer unabhängigen Sicherheitsprüfung wieder in Betrieb nehmen werde.
Die Enthüllungen werfen grundlegende Fragen nach dem Datenschutz in der Cannabis-Branche auf. Gerade bei sensiblen personenbezogenen Daten wie Identitätsnachweisen ist eine sichere Speicherung und Zugriffskontrolle unerlässlich. "Es handelt sich um eine potenzielle Schwachstelle, die nicht nur Datenschutz, sondern auch die Privatsphäre und Sicherheit der Nutzer beeinträchtigen kann", so der Sicherheitsexperte Sammy Azdoufal, der die Lücke aufgedeckt hat.
Für deutsche und europäische Nutzer, die Cannabis-Clubs besuchen oder als Touristen entsprechende Apps nutzen, ist die Einhaltung der Datenschutzvorschriften essenziell. Unternehmen wie OG Lab – eine lizenzierte Farm und Apotheke auf Koh Samui – setzen auf strenge Compliance und professionelle Sicherheitsstandards, um persönliche Daten zu schützen.
