Fuite de données des cannabis clubs : un million de personnes exposées
L’application utilisée par de nombreux cannabis clubs et coffeeshops pour gérer leurs membres a été victime d’une fuite de données. Les données de plus d’un million de personnes ont été exposées en ligne pendant plusieurs semaines. Les fichiers piratés contenaient notamment les informations personnelles, les coordonnées des membres, les scans des passeports et des pièces d’identité.
Ce qui devait arriver arriva. Le « fichage » des membres des cannabis clubs a toujours posé problème. Comme le prévoit la loi, notamment en Espagne, les personnes qui s’inscrivent dans les clubs pour se procurer du cannabis, doivent obligatoirement fournir une pièce d’identité et dans certains cas, un justificatif de domicile. Dans la plupart des clubs, aucune mesure particulière n’est prise pour protéger ces données extrêmement sensibles.
En France, les médias nous informent régulièrement de fuites de données sensibles. 145 millions d’enregistrements ont été piratés depuis 2023. Durant cette période, la CNIL (Commission nationale de l’informatique et des libertés) a dressé des amendes pour un total de 47 millions d’euros
Plusieurs plateformes de santé sont concernées par ces fuites de données. C’est également le cas d’entreprises de télécommunication, dont Free et Bouygues Telecom. Le plus impressionnant est le piratage de l’Agence nationale des titres sécurisés (ANTS) du ministère de l’intérieur qui gère entre autres la délivrance de passeports, cartes d’identités et permis de conduire.
Et ce sont maintenant les membres des cannabis clubs qui sont victimes de fuites de données ultra-sensibles. Sammy Azdoufal, un chercheur en cybersécurité, également membre d’un cannabis club à Barcelone, a découvert la faille en avril 2026.
Les données exposées provenaient de la plateforme de gestion de Cannabis Club Systems, CCS Nube, et de l’application PuffPal que les membres pouvaient télécharger. Les données ont été exposées en ligne pendant plusieurs semaines.
Au total, les données de 1 082 680 membres de cannabis clubs dont 104 865 français ont été exposées. 985 000 pièces d’identité ont été disponibles en ligne. Parmi les victimes, on trouve 130 623 citoyens italiens, 104 865 français, 89 389 Sud-Africains. 50 113 Britanniques, 38 297 Allemands et 30 538 américains. La plupart des établissements sont situés à Barcelone mais il y a des visiteurs venus du monde entier et dans certains pays, les lois sur le cannabis sont particulièrement sévères. Selon Sammy Azdoufal, certains membres des cannabis clubs victimes de fuites de données viennent du Koweït, d’Arabie saoudite ou des Émirats Arabes Unis.
Parmi les cannabis clubs et les coffeeshops concernés, on retrouve le Relax d’Amsterdam avec 57 514 membres, le Bulldog, également d’Amsterdam, avec 53 011 membres, le Firehouse, le Strain Hunters et le Selva de Barcelone.
La plateforme CCS Nube de CCS appartient à l’entreprise irlandaise Nefos Solutions Ltd. 377 cannabis clubs ou coffeshops utilisent ce système. La société a mis du temps à réagir mais les données ne sont plus exposées en ligne.
< <<< A lire également
O
Olivier F
_0.png)
.png)
.png)
