تسريب ضخم يكشف 985 ألف وثيقة هوية على خوادم شركة برمجيات لنوادي القنب في إسبانيا

كشفت مراجعة أمنية حديثة عن واحدة من أكثر حوادث كشف البيانات حساسية في قطاع البرمجيات الخدمية المرتبطة بإدارة الأعضاء والتحقق من الهوية، بعدما وُجدت مئات الآلاف من صور جوازات السفر ورخص القيادة وبطاقات الهوية متاحة على خوادم عامة من دون أي طبقة حماية فعالة.

وبحسب تفاصيل الفحص، فإن البيانات كانت قابلة للوصول عبر عناوين ويب مباشرة يمكن تخمينها أو مشاركتها بسهولة، وهو ما جعل الوثائق الشخصية عرضة للاطلاع أو النسخ أو إعادة البيع من قبل أي شخص يمتلك الحد الأدنى من المهارات التقنية.

الحادثة ترتبط بمنصة برمجية تستخدمها نوادٍ خاصة في إسبانيا لإدارة عمليات التسجيل والدفع والدخول، إضافة إلى التحقق من هوية الزائرين. هذه المنصة تخزن عادة صور المستندات الرسمية وصور السيلفي وأحيانًا تفاصيل إضافية مثل أرقام الهواتف والعناوين والبيانات المرتبطة بالاستخدام.

وتشير التقديرات إلى أن العدد الإجمالي للوثائق المكشوفة تجاوز 985 ألف صورة هوية، مع وجود نحو 30 ألف سجل يُعتقد أنها تعود إلى أشخاص من الولايات المتحدة، إلى جانب زوار من دول متعددة. كما أظهرت البيانات أن جنسيات أوروبية عدة كانت ممثلة بشكل واسع، بينها إسبانيا وإيطاليا وفرنسا وجنوب أفريقيا وبريطانيا.

الأخطر في الأمر أن التسريب لم يقتصر على صور الوثائق فحسب، بل امتد في بعض الحالات إلى معلومات تعريفية وبيانات شخصية قد تُستخدم في عمليات احتيال أو ابتزاز أو استهداف إلكتروني.

تقوم المنصة، التي تديرها شركة برمجيات أوروبية، بتوفير نظام يتيح للموظفين تحميل وثائق الهوية إلى السحابة لمطابقة الوجه والتحقق من العضوية. كما توفر تطبيقًا إضافيًا لتسريع الدخول عبر رمز استجابة سريع، ما يجعل أمن المنظومة أكثر حساسية بسبب اعتمادها على بيانات شخصية عالية القيمة.

إلا أن التحقيق الأمني كشف أن بنية التطبيق والواجهات البرمجية الخلفية كانت تعاني من ضعف واضح في التصميم. فقد أمكن الوصول إلى ملفات ووثائق حساسة بمجرد تعديل بعض القيم في الطلبات المرسلة إلى الخوادم، من دون الحاجة إلى كلمة مرور قوية أو إذن مسبق أو تحقق متعدد الخطوات.

كما تبيّن وجود مفتاح مرتبط بخدمة دفع رقمية داخل التطبيق نفسه بصيغة مكشوفة، وهو خطأ شائع لكنه شديد الخطورة لأنه قد يفتح الباب أمام سوء استخدام مالي أو تقني إذا وصل إليه مهاجم خارجي.

لم تتوقف المشكلات عند الوصول إلى الوثائق. فقد أظهر الفحص أن بوابة إدارية كانت متاحة أيضًا عبر الإنترنت العام، إلى جانب وجود ضعف في حماية حسابات بعض المشغلين داخل المنصة. وفي بعض الحالات، كانت كلمات المرور المستخدمة قابلة للكسر خلال وقت قصير جدًا باستخدام عتاد حديث.

إضافة إلى ذلك، اتضح أن الرسائل الخاصة المتبادلة بين النوادي والأعضاء عبر التطبيق لم تكن محمية بالشكل الكافي، ما يعني أن جانبًا من الاتصالات الداخلية كان معرضًا للكشف أو الاعتراض إذا استغل مهاجم الثغرات القائمة.

وتوضح هذه التفاصيل أن المشكلة لم تكن في نقطة واحدة معزولة، بل في سلسلة من القرارات التقنية الضعيفة: تخزين غير محكم، صلاحيات وصول واسعة، وواجهات برمجية لا تفرض قيودًا كافية على من يمكنه قراءة البيانات أو استدعاؤها.

بعد الإبلاغ عن الثغرات، استغرقت الشركة وقتًا قبل أن تبدأ باتخاذ إجراءات جدية. وفي البداية، جرى التعامل مع المشكلة بصورة جزئية، مع محاولة إغلاق بعض الفجوات من دون تعطيل المنصة بالكامل، وهو ما سمح بعودة أجزاء من البيانات إلى الظهور مرة أخرى في اختبارات لاحقة.

لاحقًا، أعلنت الشركة أنها ستوقف نظام التطبيق والواجهات المعرضة للخطر إلى حين إصلاحها، وأكدت أنها أخطرت السلطات المحلية المختصة. كما أفادت بأنها ستتحمل مسؤولية المعالجة الفنية، إلى جانب أي غرامات أو متطلبات إبلاغ للمستخدمين المتضررين.

وبحسب إفادات من داخل الشركة، فإنها باتت على تواصل مع جهة حماية البيانات في أيرلندا، وسط اعتراف بأن الإخطار القانوني ربما لم يتم خلال المهلة المطلوبة في التشريعات الأوروبية، وهي 72 ساعة من اكتشاف الحادثة في بعض الحالات.

تسريب جوازات السفر وبطاقات الهوية ليس مجرد خرق تقني عادي. فهذه الوثائق يمكن استخدامها في انتحال الشخصية، وفتح حسابات مزيفة، وتنفيذ عمليات احتيال مالي، أو حتى استهداف أشخاص يريدون الحفاظ على خصوصيتهم بسبب طبيعة الأماكن التي زاروها أو الخدمات التي استخدموها.

وفي هذه الحالة تحديدًا، تزيد حساسية البيانات لأن بعض السجلات تضمنت معلومات حول أنماط استهلاك خاصة وبيانات عضوية في نوادٍ لا يرغب كثير من الزائرين في ربطها بهويتهم العامة. لذلك فإن أي انكشاف لهذه الملفات قد يسبب ضررًا شخصيًا وسمعيًا وأمنيًا في الوقت نفسه.

كما أن التخزين عبر روابط عامة يضرب مبدأ أساسيًا في أمن المعلومات، وهو أن البيانات الحساسة يجب ألا تكون قابلة للوصول مباشرة عبر عنوان يمكن تخمينه أو نسخه، حتى لو بدا النظام من الخارج منظمًا أو سهل الاستخدام.

تكشف هذه الحادثة عن مشكلة متكررة في كثير من منصات الخدمات السحابية: السرعة في إطلاق المنتج تتقدم أحيانًا على أمنه. وعندما تتعامل الشركة مع وثائق رسمية وبيانات بيومترية وتاريخ دخول المستخدمين، يصبح أي إهمال برمجي عامل خطر مباشر على آلاف الأشخاص.

الاعتماد على واجهات برمجية غير موثقة جيدًا، أو على مفاتيح وصول مخزنة داخل التطبيق، أو على صلاحيات إدارية ضعيفة، كلها أخطاء كان يمكن تفاديها قبل وصول المنصة إلى مرحلة تشغيل واسعة. ومع تضخم عدد السجلات المخزنة يوميًا، يصبح أثر الثغرة أكثر اتساعًا مع الوقت.

وتؤكد هذه الواقعة أن الأمن السيبراني لم يعد عنصرًا ثانويًا في التطبيقات السحابية، بل جزءًا من البنية الأساسية لأي خدمة تتعامل مع هوية المستخدم أو بياناته المالية أو مستنداته الرسمية.

الخطوة التالية ستكون مراجعة شاملة للبيانات المخزنة، ثم إخطار الأفراد الذين قد تكون معلوماتهم تعرضت للكشف، إلى جانب تدقيق خارجي مستقل في بنية النظام قبل إعادة تشغيله. كما يُتوقع أن تواجه الشركة تداعيات تنظيمية وقانونية إذا ثبت عدم الالتزام بمتطلبات الإبلاغ والاحتواء.

أما على مستوى المستخدمين، فالمطلوب هو التعامل بحذر مع أي جهة تطلب رفع صورة لوثيقة الهوية أو تخزينها دون توضيح واضح لسياسات الاحتفاظ والحذف والتشفير. فكلما زادت حساسية البيانات، زادت الحاجة إلى التحقق من جدية الضمانات الأمنية قبل إدخالها إلى أي منصة رقمية.

وتبقى الخلاصة الأهم أن أمن الوثائق الشخصية لا يعتمد على ثقة المستخدم وحدها، بل على انضباط تقني صارم في كل طبقة من طبقات النظام، من التطبيق إلى الواجهة الخلفية وصولًا إلى التخزين السحابي.