Quasi un milione di membri dei cannabis social club e dei coffee shop hanno visto i propri dati personali esposti su Internet per diverse settimane.
La violazione è stata causata da CCS Nube, la piattaforma SaaS sviluppata da Cannabis Club Systems (CCS), entità commerciale della società irlandese Nefos Solutions Ltd, utilizzata da 377 locali in oltre 40 paesi per gestire iscrizioni, identità e transazioni.
È stato Sammy Azdoufal, ricercatore nel campo della sicurezza informatica e lui stesso membro di un club di Barcellona, a scoprire la falla nell’aprile 2026 dopo aver scaricato l’applicazione mobile opzionale del suo club, PuffPal, e averne decompilato il codice.
Il database compromesso avrebbe contenuto informazioni su 1 082 680 membri registrati, tra cui circa 986 000 documenti d’identità quali passaporti, carte d’identità nazionali e patenti di guida. Tra gli utenti interessati figurano oltre 104.000 cittadini francesi.
Nella banca dati figurano alcuni dei club più noti del settore, tra cui il Bulldog di Amsterdam con 53.011 profili, oppure lo Strain Hunters di Barcellona, il Choko, il Firehouse o il Selva.

Statistiche sulla fuga di dati
Come è stata scoperta la vulnerabilità
Il problema è stato portato alla luce dopo che Azdoufal, egli stesso membro di un club sociale di cannabis a Barcellona, ha esaminato l’applicazione mobile opzionale PuffPal, sviluppata da CCS per facilitare le iscrizioni al club e la gestione dei soci.
Analizzando il codice dell’app, ha scoperto che l’infrastruttura backend era priva di controlli di sicurezza di base. Modificando semplicemente gli identificativi numerici associati agli account degli utenti, è riuscito ad accedere ai profili personali di altri membri.
«Ho scritto un ciclo. L’ho lasciato in esecuzione per tutta la notte. La mattina seguente avevo 1.082.680 record», ha scritto Azdoufal nel suo rapporto tecnico.
La vulnerabilità non ha interessato solo gli utenti di PuffPal. Secondo il ricercatore, i dati esposti provenivano da CCS Nube, la piattaforma centrale utilizzata dai club per gestire le iscrizioni, la verifica dell’identità, la messaggistica e i pagamenti. Di conseguenza, anche le persone che non hanno mai scaricato l’app mobile avrebbero potuto vedere i propri dati esposti.
Le foto dei documenti d’identità erano archiviate su URL pubblici prevedibili, senza alcun tipo di controllo degli accessi. In queste condizioni, ogni giorno venivano aggiunte cinquemila nuove scansioni.
Parallelamente sono state individuate altre vulnerabilità: una chiave segreta Stripe (con accesso completo all’account di pagamento) hardcoded nell’APK dell’applicazione, credenziali Firebase esposte che consentivano di accedere ai token delle notifiche push di 25.425 account e 9.030 messaggi privati tra membri e club accessibili senza verifica della titolarità.
Informazioni sensibili relative al consumo di cannabis
Le informazioni divulgate andavano ben oltre i semplici dati di contatto.
Secondo l’indagine di Next.ink, i profili esposti potevano includere nomi, indirizzi e-mail, numeri di telefono, indirizzi postali, date di nascita, nazionalità, numeri di documenti d’identità e copie digitalizzate di passaporti o carte d’identità.
Il database conteneva inoltre informazioni relative alle abitudini di consumo di cannabis dei membri, in particolare i livelli di consumo mensili dichiarati e le varietà preferite.
«Il buttafuori fisico all’ingresso controlla la tua tessera associativa. Il buttafuori digitale, invece, non c’era», ha sintetizzato Azdoufal.
La ripartizione per nazionalità degli utenti coinvolti evidenzia il carattere internazionale dei membri dei Club. I gruppi più numerosi di soci coinvolti erano costituiti da cittadini spagnoli, italiani, francesi, sudafricani, britannici, tedeschi e statunitensi.
Questa fuga di dati suscita preoccupazioni anche tra i cittadini dei paesi in cui la cannabis rimane fortemente penalizzata. Il ricercatore ha osservato che il database includeva membri in possesso di passaporti di paesi quali l’Arabia Saudita, il Kuwait e gli Emirati Arabi Uniti, dove i reati legati alla cannabis possono comportare gravi conseguenze legali.
Dubbi sulla conformità al GDPR
La gestione di questo incidente è chiaramente discutibile. Secondo Azdoufal, egli ha segnalato per la prima volta il problema a CCS nell’aprile 2026, ma non ha ricevuto alcuna risposta per diverse settimane nonostante i ripetuti tentativi di contattare l’azienda.
Next.ink e The Verge hanno entrambi riferito che un coinvolgimento significativo è avvenuto solo dopo l’intervento dei giornalisti e quando la pubblicazione dei risultati sembrava imminente. Ai sensi delle norme del GDPR, le organizzazioni sono generalmente tenute a notificare alle autorità di controllo competenti entro 72 ore dal momento in cui vengono a conoscenza di una violazione dei dati personali.
In un’intervista a The Verge, il cofondatore di CCS, Andreas Nilsen, ha riconosciuto la gravità della situazione e ha dichiarato che l’azienda sta collaborando con la Commissione irlandese per la protezione dei dati.
«Dobbiamo contattare tutte le persone potenzialmente coinvolte», ha dichiarato Nilsen al giornale.
Al momento della stesura di questo articolo, i responsabili dei Club che siamo riusciti a intervistare non erano a conoscenza della fuga di dati.
Misure di emergenza e indagine in corso
A seguito della divulgazione pubblica delle vulnerabilità, CCS ha iniziato ad attuare misure correttive. Secondo le dichiarazioni fornite a diversi media, l’azienda ha limitato l’accesso ai terminali esposti, ha temporaneamente chiuso l’applicazione PuffPal e ha avviato un’indagine interna.
Il direttore tecnico dell’azienda, Sean Nilsen, ha dichiarato ai media che diverse vulnerabilità erano già state risolte e che gli sforzi per porvi rimedio proseguivano.
«Prendiamo molto sul serio la sicurezza e la protezione dei dati personali», ha affermato Nilsen.
Test indipendenti condotti da Azdoufal il 10 giugno hanno suggerito che alcune delle vulnerabilità più critiche, in particolare le immagini dei documenti d’identità accessibili al pubblico, fossero state finalmente messe in sicurezza.
Ad oggi, non è stata accertata alcuna prova di estrazione dolosa dei dati. I soci interessati possono esercitare i propri diritti di accesso (articolo 15) e di cancellazione (articolo 17) presso il proprio club e presentare un reclamo all’autorità nazionale per la protezione dei dati.
You must be logged in to post a comment Login