Bez hesla, bez omezení a pro kohokoli s odkazem. Chyba v systému PuffPal a Nefos odhalila stovky tisíc citlivých dokladů včetně pasů, průkazů a dalších osobních údajů.
Systém PuffPal a backend firmy Nefos nechal na veřejném internetu stovky tisíc dokladů bez ochrany. V praxi to znamenalo, že se k pasům, řidičským průkazům i dalším osobním údajům dalo dostat jen přes správně odhadnutou adresu. Pro uživatele je to ukázka, jak snadno se z pohodlné digitální registrace může stát bezpečnostní průšvih.

Doklady ležely na veřejných URL bez ochrany
Bezpečnostní výzkumník narazil na databázi, v níž bylo podle jeho odhadu více než 985 000 fotokopií dokladů. Šlo o pasy, občanské a řidičské průkazy, ale také o selfie snímky a další údaje, které se běžně sbírají při registraci do klubů. Citlivé soubory přitom nebyly za žádným heslem ani přístupovým systémem.
Největší problém nebyl jen v jedné aplikaci, ale v celém řešení, které kluby používaly pro vstup, evidenci členů i komunikaci se zákazníky. Doklady se ukládaly do cloudu a odkazy na ně byly tak jednoduché, že je bylo možné odhadnout. Z pohledu běžného uživatele je to přesně ten typ chyby, kvůli které nestačí jen „mít data v cloudu“ — důležité je, jak jsou chráněná.
Výzkumník navíc ukázal, že systém nechránil jen samotné snímky dokladů. Když změnil identifikátor uživatele nebo sáhl do interních rozhraní, dostal se i k profilům s telefonními čísly, adresami, preferencemi a dalšími detaily. To je kombinace, která může vést k cílenému zneužití identity i k vydírání.
Co to znamená pro uživatele a proč je to vážné
V praxi jde o problém, který přesahuje jednorázový únik. Jakmile se k pasu nebo občance dostane neoprávněná osoba, už nejde jen o soubor v databázi. Doklad může posloužit k podvodům, k otevírání falešných účtů nebo k vytváření dalších kopií identit, které se velmi těžko stahují zpět. U citlivých profilů navíc hraje roli i reputační škoda, protože část lidí nechce mít podobné údaje spojené s konkrétní službou.
Dobrou zprávou je, že po upozornění došlo k zásahu a část systémů byla vypnuta. Firma tvrdí, že veřejný přístup k fotografiím dokladů i dalším datům je už omezený a že pracuje na opravách. Zároveň ale přiznává, že postupovala pozdě a že podobné incidenty může v EU doprovázet i povinnost nahlásit únik do 72 hodin. Právě to je pro evropské uživatele důležité: v podobných případech nejde jen o reputaci firmy, ale i o to, zda splnila zákonné povinnosti.
Celá kauza ukazuje i širší trend. Čím víc služeb spoléhá na rychlé digitální ověření identity, tím vyšší nároky musí mít na zabezpečení, správu přístupů a audit třetích stran. Tady už nestačí jen pohodlné přihlášení přes QR kód nebo automatické načtení profilu. Pokud systém uchovává pasy, adresy a telefonní čísla, musí být chráněný stejně důsledně jako bankovní aplikace.
Pokud vás téma zajímá víc, přečtěte si také iOS 27 v betě přináší přes 200 novinek, Apple vylepšuje Mapy, Zprávy i Fotky a iOS 26.4 v Británii zlobí ověřování věku. Co funguje.
Podrobnosti přinesl také Theverge.

Chcete k tomu něco dodat? Napište krátce proč.