Data leak: one million Cannabis Club members exposed online

Près d’un million de membres de cannabis social clubs and coffee shops ont vu leurs données personnelles exposées sur internet pendant plusieurs semaines.

La brèche provient de CCS Nube, la plateforme SaaS développée par Cannabis Club Systems (CCS), entité commerciale de la société irlandaise Nefos Solutions Ltd, utilisée par 377 établissements dans plus de 40 pays pour gérer adhésions, identités et transactions.

The Sammy Azdoufal, chercheur en cybersécurité et lui-même membre d’un club barcelonais, qui a découvert la faille en avril 2026 après avoir téléchargé l’application mobile optionnelle de son club, PuffPal, et en avoir décompilé le code.

La base de données exposée aurait contenu des informations sur 1 082 680 membres enregistrés, dont près de 986 000 documents d’identité tels que des passeports, des cartes d’identité nationales et des permis de conduire. Plus de 104 000 citoyens français figurent parmi les utilisateurs concernés.

Des clubs parmi les plus connus du secteur figurent dans la base, dont les Bulldog d’Amsterdam avec 53 011 profils, ou encore le Strain Hunters de Barcelone, le Choko, the Firehouse or the Selva.

Statistiques de la fuite de donnéesont

Comment la vulnérabilité a été découverte

Le problème a été mis au jour après qu’Azdoufal, lui-même membre d’un club social de cannabis à Barcelone, a examiné l’application mobile facultative PuffPal, développée par CCS pour faciliter les inscriptions au club et la gestion des membres.

En analysant le code de l’application, il a découvert que l’infrastructure backend manquait de contrôles de sécurité de base. En modifiant simplement les identifiants numériques associés aux comptes d’utilisateurs, il a pu accéder aux dossiers personnels d’autres membres.

« J’ai écrit une boucle. Je l’ai laissée tourner toute la nuit. Le lendemain matin, j’avais 1 082 680 enregistrements », a écrit Azdoufal dans son rapport technique.

La vulnérabilité n’a pas seulement affecté les utilisateurs de PuffPal. Selon le chercheur, les données exposées provenaient de CCS Nube, la plateforme centrale utilisée par les clubs pour gérer les adhésions, la vérification d’identité, la messagerie et les paiements. Par conséquent, les personnes n’ayant jamais téléchargé l’application mobile auraient également pu voir leurs données exposées.

Les photos de documents d’identité étaient stockées à des URL publiques prévisibles, sans contrôle d’accès d’aucune forme. Cinq mille nouveaux scans étaient ajoutés quotidiennement dans ces conditions.

D’autres failles ont été identifiées en parallèle : une clé secrète Stripe (accès complet au compte de paiement) codée en dur dans l’APK de l’application, des identifiants Firebase exposés permettant d’accéder aux tokens de notifications push de 25 425 comptes, et 9 030 messages privés entre membres et clubs accessibles sans validation de propriété.

Informations sensibles liées à la consommation de cannabis

Les informations divulguées allaient bien au-delà des simples coordonnées.

D’après l’enquête de Next.ink, les profils exposés pouvaient inclure des noms, des adresses e-mail, des numéros de téléphone, des adresses postales, des dates de naissance, des nationalités, des numéros de documents d’identité et des copies numérisées de passeports ou de cartes d’identité.

La base de données contenait également des informations relatives aux habitudes de consommation de cannabis des membres, notamment les niveaux de consommation mensuels déclarés et les variétés préférées.

« Le videur physique à l’entrée vérifie votre carte de membre. Le videur numérique, lui, n’était pas là », a résumé Azdoufal.

La répartition par nationalité des utilisateurs concernés met en évidence le caractère international des membres des Clubs. Les groupes les plus importants de membres concernés étaient des ressortissants espagnols, italiens, français, sud-africains, britanniques, allemands et américains.

Cette fuite suscite également des inquiétudes chez les citoyens de pays où le cannabis reste fortement pénalisé. Le chercheur a noté que la base de données comprenait des membres titulaires de passeports de pays tels que l’Arabie saoudite, le Koweït et les Émirats arabes unis, où les infractions liées au cannabis peuvent entraîner de graves conséquences juridiques.

Des questions sur la conformité au RGPD

La gestion de cet incident est visiblement critiquable. Selon Azdoufal, il a d’abord alerté CCS en avril 2026, mais n’a reçu aucune réponse pendant plusieurs semaines malgré de multiples tentatives pour contacter l’entreprise.

Next.ink and The Verge ont tous deux rapporté qu’un engagement significatif n’a eu lieu qu’après l’intervention de journalistes et alors que la publication des conclusions semblait imminente. En vertu des règles du RGPD, les organisations doivent généralement notifier les autorités de contrôle compétentes dans les 72 heures suivant la prise de connaissance d’une violation de données à caractère personnel.

S’adressant à The Verge, le cofondateur de CCS, Andreas Nilsen, a reconnu la gravité de la situation et a déclaré que l’entreprise coopérait avec la Commission irlandaise de protection des données.

« Nous devons communiquer avec toutes les personnes potentiellement exposées », a déclaré M. Nilsen au journal.

A l’heure où nous écrivons, les responsables des Clubs que nous avons pu interroger n’étaient pas au courant de la fuite de données.

Mesures d’urgence et enquête en cours

À la suite de la divulgation publique des vulnérabilités, CCS a commencé à mettre en œuvre des mesures correctives. Selon des déclarations fournies à plusieurs médias, l’entreprise a restreint l’accès aux terminaux exposés, a temporairement fermé l’application PuffPal et a lancé une enquête interne.

Le directeur technique de l’entreprise, Sean Nilsen, a déclaré aux médias que plusieurs vulnérabilités avaient déjà été corrigées et que les efforts de remédiation se poursuivaient.

« Nous prenons très au sérieux la sécurité et la protection des données personnelles », a déclaré M. Nilsen.

Des tests indépendants menés par Azdoufal le 10 juin ont suggéré que certaines des expositions les plus critiques, notamment les images de documents d’identité accessibles au public, avaient finalement été sécurisées.

À ce jour, aucune preuve d’extraction malveillante des données n’a été établie. Les membres concernés peuvent exercer leurs droits d’accès (article 15) et d’effacement (article 17) auprès de leur club, et déposer une plainte auprès de leur autorité nationale de protection des données.