Cannaleaks: 985.000 Ausweis-Scans von Cannabis-Clubs offen auf oeffentlichen URLs
Der Sicherheitsforscher Sammy Azdoufal fand fast 985.000 Reisepaesse, Personalausweise und Fuehrerscheine der Cannabis-Club-App PuffPal an vorhersehbaren oeffentlichen Webadressen, ohne Passwort und ohne Zugriffskontrolle. Das System der irischen Firma Nefos Solutions enthielt ueber 1 Million Mitgliederprofile. High Times berichtete am 17. Juni 2026 ueber das Leck.
VaultTools · 18. Juni 2026
Inhaltsverzeichnis
- Was geschah
- Was offengelegt wurde
- Wie es passierte
- Die Zeitleiste der Offenlegung
- Warum das fuer browserbasierte Datei-Tools wichtig ist
- Quellen
Was geschah
Fast 985.000 offizielle Ausweisdokumente von Cannabis-Club-Mitgliedern lagen ohne Passwort, ohne Verschluesselung und ohne Zugriffskontrolle im oeffentlichen Internet, wie High Times am 17. Juni 2026 berichtete.
Die Dokumente gehoerten Nutzern von PuffPal, einer Mitglieder-App der irischen Firma Nefos Solutions, die ueber deren Plattform Cannabis Club Systems (CCS) betrieben wird. Das System bediente ueber 800 Cannabis-Clubs, vor allem in Spanien (besonders Barcelona), Italien, Frankreich und Suedafrika, und enthielt mehr als eine Million registrierte Mitgliederprofile.
Entdeckt wurde die Offenlegung von Sammy Azdoufal, einem unabhaengigen Sicherheitsforscher. Er fand heraus, dass die von Mitgliedern hochgeladenen Ausweisbilder an vorhersehbaren, voellig offenen Webadressen gespeichert waren. Jeder, der die URL kannte oder erriet, konnte die Dateien oeffnen.
Was offengelegt wurde
Laut High Times und uebereinstimmenden Berichten umfassten die offengelegten Datensaetze Bilder von Reisepaessen, Personalausweisen, Fuehrerscheinen, Selfies und Verifizierungsfotos. Neben den Dokument-Scans lagen Telefonnummern, Wohnadressen, E-Mail-Adressen, Passnummern, die Cannabis-Sortenvorlieben der Mitglieder sowie Daten dazu, wie oft sie Clubs besuchten oder dort konsumierten. Auch private Nachrichten zwischen Clubs und Nutzern waren erreichbar.
Das sind ausweisrelevante Daten. Ein Pass-Scan, ein passendes Selfie und eine Wohnadresse sind genau das Set, das ein Betrueger braucht, um eine Fern-Identitaetspruefung zu bestehen oder ein Konto im Namen einer anderen Person zu eroeffnen.
Wie es passierte
Laut Azdoufal nutzte das Nefos-Backend (CCS Nube genannt) eine fortlaufende Nutzer-Indexierung und schuetzte die gespeicherten Dateien ueberhaupt nicht. Es gab kein Authentifizierungs-Token, kein Session-Cookie, keinen API-Schluessel und kein Passwort, das die Dokumente sicherte. Weil die Adressen einer vorhersehbaren Struktur folgten, war das Durchwandern von einem Datensatz zum naechsten trivial.
Der Forscher berichtete zudem, einen Stripe-Geheimschluessel im Klartext im Code der PuffPal-App gefunden zu haben, der jedem mit minimalen Kenntnissen direkten Zugriff auf Zahlungsdaten der Nutzer ermoeglicht haette.
Die Zeitleiste der Offenlegung
Das Leck wurde nicht sauber geschlossen. Nachdem der Zugriff zunaechst eingeschraenkt worden war, oeffnete die Plattform ihn am 4. Juni 2026 erneut, weil einige Clubs sich beschwerten, die Fotos ihrer Mitglieder nicht mehr sehen zu koennen. Waehrend die Daten offen lagen, kamen taeglich rund 5.000 neue Dokumente hinzu. Erst am 10. Juni 2026 wurde das System vollstaendig abgeschaltet, als Nefos das gesamte PuffPal-Setup kappte und sich vom Anbieter trennte, der es gebaut hatte.
Andreas Nilsen, Mitgruender von Nefos, sagte The Verge, das Unternehmen sei “nach europaeischem Recht verpflichtet, die Verletzung zu melden” und koenne “Strafen drohen”. Nefos erklaerte, es habe die lokalen Behoerden informiert und stehe in Kontakt mit der irischen Datenschutzkommission. Nach der DSGVO muessen meldepflichtige Verletzungen innerhalb von 72 Stunden gemeldet werden.
Warum das fuer browserbasierte Datei-Tools wichtig ist
Das Cannaleaks-Muster ist dasselbe wie bei Hotel-Check-in-Lecks, Visa-Portalen und Fintech-KYC-Pannen: Ein sensibles Dokument wird auf den Server eines anderen hochgeladen, eine Kopie wird gespeichert, und ein einziger Konfigurationsfehler macht diese Kopie zu einer oeffentlichen Datei. Die Mitglieder haben nichts falsch gemacht. Sie scannten einen Pass, weil eine App darum bat, und der Speicher dahinter war weit offen.
Eine Datei, die das Geraet nie verlaesst, kann nicht in einem offenen Bucket oder hinter einer erratbaren URL liegen. Wenn die Dokumentverarbeitung lokal im Browser laeuft, gibt es keinen Upload, keine serverseitige Kopie und keine Speicherkonfiguration, die man spaeter falsch machen kann. VaultTools fuehrt jedes PDF- und Bild-Tool clientseitig ueber WebAssembly aus: Die Bytes bleiben auf Ihrem Rechner, sodass der Fehlermodus, der fast eine Million Ausweis-Scans offenlegte, schlicht nicht existiert.
Wenn Sie ein Ausweisdokument konvertieren, komprimieren, schwaerzen oder von Metadaten befreien muessen, beseitigt die Verarbeitung auf dem Geraet die Server-Kopie vollstaendig. Es gibt nichts zu leaken.