Quase um milhão de membros de cannabis social clubs e de coffee shops viram os seus dados pessoais expostos na Internet durante várias semanas.
A falha de segurança teve origem na CCS Nube, a plataforma SaaS desenvolvida pela Cannabis Club Systems (CCS), uma entidade comercial da empresa irlandesa Nefos Solutions Ltd, utilizada por 377 estabelecimentos em mais de 40 países para gerir adesões, identidades e transações.
Foi Sammy Azdoufal, investigador em cibersegurança e ele próprio membro de um clube de Barcelona, que descobriu a falha em abril de 2026, após ter descarregado a aplicação móvel opcional do seu clube, PuffPal, e ter descompilado o seu código.
A base de dados exposta teria contido informações sobre 1 082 680 membros registados, incluindo cerca de 986 000 documentos de identificação, tais como passaportes, cartões de identidade nacionais e cartas de condução. Mais de 104 000 cidadãos franceses figuram entre os utilizadores afetados.
Alguns dos clubes mais conhecidos do setor constam da base de dados, incluindo o Bulldog de Amesterdão com 53 011 perfis, ou ainda o Strain Hunters de Barcelona, o Choko, o Firehouse ou o Selva.

As estatísticas do vazamento de dados são
Como a vulnerabilidade foi descoberta
O problema veio a lume depois de Azdoufal, ele próprio membro de um clube social de canábis em Barcelona, ter analisado a aplicação móvel opcional PuffPal, desenvolvida pela CCS para facilitar as inscrições no clube e a gestão dos membros.
Ao analisar o código da aplicação, descobriu que a infraestrutura de backend carecia de controlos de segurança básicos. Ao alterar simplesmente os identificadores numéricos associados às contas dos utilizadores, conseguiu aceder aos ficheiros pessoais de outros membros.
«Escrevi um ciclo. Deixei-o a funcionar toda a noite. Na manhã seguinte, tinha 1 082 680 registos», escreveu Azdoufal no seu relatório técnico.
A vulnerabilidade não afetou apenas os utilizadores do PuffPal. Segundo o investigador, os dados expostos provinham do CCS Nube, a plataforma central utilizada pelos clubes para gerir as adesões, a verificação de identidade, a mensagens e os pagamentos. Consequentemente, as pessoas que nunca tinham descarregado a aplicação móvel também poderiam ter visto os seus dados expostos.
As fotografias dos documentos de identificação estavam armazenadas em URLs públicas previsíveis, sem qualquer tipo de controlo de acesso. Cinco mil novas digitalizações eram adicionadas diariamente nestas condições.
Foram identificadas outras falhas em paralelo: uma chave secreta do Stripe (acesso total à conta de pagamento) codificada de forma estática no APK da aplicação, identificadores Firebase expostos que permitiam aceder aos tokens de notificações push de 25 425 contas e 9 030 mensagens privadas entre membros e clubes acessíveis sem validação de propriedade.
Informações sensíveis relacionadas com o consumo de canábis
As informações divulgadas iam muito além de simples dados de contacto.
De acordo com a investigação da Next.ink, os perfis expostos podiam incluir nomes, endereços de e-mail, números de telefone, endereços postais, datas de nascimento, nacionalidades, números de documentos de identificação e cópias digitalizadas de passaportes ou cartões de identidade.
A base de dados continha também informações relativas aos hábitos de consumo de canábis dos membros, nomeadamente os níveis de consumo mensais declarados e as variedades preferidas.
«O segurança físico à entrada verifica o seu cartão de sócio. O segurança digital, por sua vez, não estava lá», resumiu Azdoufal.
A distribuição por nacionalidade dos utilizadores afetados evidencia o caráter internacional dos sócios dos Clubes. Os grupos mais numerosos de membros em causa eram cidadãos espanhóis, italianos, franceses, sul-africanos, britânicos, alemães e americanos.
Esta fuga de informação suscita também preocupações entre os cidadãos de países onde a canábis continua a ser fortemente penalizada. O investigador observou que a base de dados incluía membros titulares de passaportes de países como a Arábia Saudita, o Kuwait e os Emirados Árabes Unidos, onde as infrações relacionadas com a canábis podem acarretar graves consequências legais.
Questões sobre a conformidade com o RGPD
A gestão deste incidente é, evidentemente, passível de críticas. Segundo Azdoufal, alertou inicialmente a CCS em abril de 2026, mas não recebeu qualquer resposta durante várias semanas, apesar das múltiplas tentativas de contactar a empresa.
Next.ink e The Verge relataram que só houve um envolvimento significativo após a intervenção de jornalistas e quando a publicação das conclusões parecia iminente. Nos termos do RGPD, as organizações devem, em geral, notificar as autoridades de controlo competentes no prazo de 72 horas após terem tomado conhecimento de uma violação de dados pessoais.
Em declarações ao The Verge, o cofundador da CCS, Andreas Nilsen, reconheceu a gravidade da situação e afirmou que a empresa estava a cooperar com a Comissão Irlandesa de Proteção de Dados.
«Temos de contactar todas as pessoas potencialmente afetadas», afirmou Nilsen ao jornal.
À data da redação deste artigo, os responsáveis pelos clubes que conseguimos entrevistar não tinham conhecimento da fuga de dados.
Medidas de emergência e investigação em curso
Na sequência da divulgação pública das vulnerabilidades, a CCS começou a implementar medidas corretivas. De acordo com declarações prestadas a vários meios de comunicação social, a empresa restringiu o acesso aos terminais expostos, encerrou temporariamente a aplicação PuffPal e lançou um inquérito interno.
O diretor técnico da empresa, Sean Nilsen, declarou aos meios de comunicação que várias vulnerabilidades já tinham sido corrigidas e que os esforços de correção continuavam.
«Levamos muito a sério a segurança e a proteção dos dados pessoais», afirmou o Sr. Nilsen.
Testes independentes realizados por Azdoufal a 10 de junho sugeriram que algumas das exposições mais críticas, nomeadamente as imagens de documentos de identificação acessíveis ao público, tinham finalmente sido protegidas.
Até ao momento, não foram encontradas provas de extração maliciosa de dados. Os membros afetados podem exercer os seus direitos de acesso (artigo 15.º) e de apagamento (artigo 17.º) junto do seu clube e apresentar uma queixa junto da autoridade nacional de proteção de dados.