back to top
Advertentie
sirius
sirius
sirius
sirius
Home Cannabisindustrie Analyses Datalek Cannabis Club Systems treft bijna 7.000 Nederlanders

Datalek Cannabis Club Systems treft bijna 7.000 Nederlanders

Onderzoeker Sammy Azdoufal legde bijna een miljoen paspoorten en pasfoto's van Cannabis Social Club leden bloot van onder andere The Bulldog en Strainhunters, met bijna 7000 Nederlandse profielen.

Datalek Cannabis Club Systems treft bijna 7.000 Nederlanders
Via The Verge
- Advertenties - Verbond voor Opheffing van het Cannabisverbod

Het datalek van Cannabis Club Systems (CCS) bracht identiteitsgegevens van bijna een miljoen Spaanse Cannabis Social Club leden aan het licht, meldde The Verge op 10 juni 2026. Beveiligingsonderzoeker Sammy Azdoufal ontdekte volgens het medium ruim 985.000 onbeveiligde paspoorten, rijbewijzen en pasfoto’s op het publieke internet.

CCS, formeel Nefos Solutions, is een Iers softwarebedrijf dat verkoop-, boekhoud- en verificatiesystemen levert aan Spaanse cannabisclubs. Receptionisten uploaden er ID’s en selfies van leden naartoe voor toegangscontrole. De bijbehorende app PuffPal liet leden bovendien via een QR-code naar binnen scannen.

Na het decompileren van PuffPal vond Azdoufal een onbeveiligde Stripe-sleutel in platte tekst, toegang tot willekeurige ledenprofielen door een enkel nummer te wijzigen, en publiek toegankelijke URL’s waarop paspoorten en rijbewijzen stonden. Clubs uploadden dagelijks zo’n 5.000 nieuwe ID’s via die kwetsbare structuur. Ook een admin-portaal met zwakke wachtwoorden en privéberichten tussen clubs en leden bleken bereikbaar.

Reactie van Nefos Solutions en herstelmaatregelen

Nefos reageerde pas na vijf dagen en de dreiging van publicatie. Ruim een maand na het eerste contact kondigde het bedrijf aan PuffPal en de kwetsbare API’s volledig stil te leggen. Bij tests op 10 juni bleken paspoorten en persoonsgegevens beveiligd.

Nefos-medeoprichter Andreas Nilsen liet aan The Verge weten dat het bedrijf contact heeft met de Ierse privacytoezichthouder Data Protection Commission (DPC), een contact dat DPC-woordvoerder Evan O’Leary bevestigde. “We moeten iedereen die mogelijk is blootgesteld op de hoogte brengen”, aldus Nilsen.

De beveiliging bleek echter wisselvallig. Op 4 juni stond het paspoort van Azdoufal zelf opnieuw onbeschermd online, nadat clubs klaagden dat vergrendelde afbeeldingen niet meer verschenen. Nilsen stelt dat de beelden sinds het eerste contact ongeveer 70 procent van de tijd waren afgeschermd. Op 9 juni bleek verder dat paspoortnummers, telefoonnummers, e-mailadressen en woonadressen nog altijd via een simpele API-aanroep opvraagbaar waren, ook nadat de pasfoto’s zelf waren beveiligd.

Onder de Europese privacywetgeving (AVG) moet een datalek binnen 72 uur worden gemeld. Nefos deed dat niet. Nilsen zegt een boete te verwachten en wijst mede naar uitbesteder 9Series, die volgens hem PuffPal en de kwetsbare API’s bouwde. Nefos zegt de samenwerking met 9Series te beëindigen.

Bijna 7.000 Nederlandse profielen in de blootgelegde data

Een analyse van cannabisindustrie.nl op de blootgelegde databasegegevens wijst uit dat bijna 7.000 profielen een Nederlandse nationaliteit hebben. Onder de clubs met Nederlandse roots of banden die in de dataset voorkomen, bevinden zich The Bulldog en Strainhunters.

Green House liet via Joachim Helms weten aan cannabisindustrie.nl het artikel te hebben gelezen, maar verder geen aanvullende informatie te hebben. Helms trok een vergelijking met eerdere datalekken bij onder meer Rabobank, Basic-Fit en de overheid. Op de vraag naar de twee genoemde Nederlandse clubs antwoordde hij: “De Strainhunters-club is niet van ons en is geen onderdeel van Green House.”

The Bulldog liet aanvankelijk via Chantal de Vries weten aan cannabisindustrie.nl niet op de hoogte te zijn geweest van het datalek en erop terug te komen op een later tijdstip. Zij gaf wel aan dat de in de dataset genoemde ledenaantallen onjuist zouden zijn en dat intern wordt uitgezocht wat de exacte situatie is.

Later liet zij nog weten dat volgens The Bulldog het stuk informatie bevat die onjuist is, met mogelijk meer onjuistheden dan alleen de ledenaantallen. The Bulldog benadrukt daarbij er alles aan te doen om de veiligheid en privacy van haar klanten te waarborgen.

Nefos moet de getroffen Nederlandse leden nog individueel informeren over het datalek. Zo staan er ook leden van onze redactie op de ledenlijst, maar die hebben hier nog niks over ontvangen op de dag van publicatie van dit artikel.

Zij die van zichzelf weten dat ze bij een van deze twee clubs (of een andere die in de afbeelding boven dit artikel staan) ooit zijn geregistreerd, moeten dus extra op hun hoede zijn voor identiteitsfraude.

- Advertenties -