Casi un millón de pasaportes y documentos de identidad quedaron expuestos en internet público

La brecha de Cannabis Club Systems expone una contradicción fundamental en la industria: mientras las empresas invierten millones en modelos de IA para verificación de identidad y cumplimiento regulatorio, fallan en implementar controles básicos de acceso a las bases de datos que almacenan esos documentos. No fue un hack sofisticado, fue negligencia operativa elemental.

El caso es especialmente grave porque involucra una industria altamente regulada donde la verificación de identidad es un requisito legal. Las empresas de cannabis operan bajo escrutinio constante de autoridades, pero ese escrutinio claramente no se extiende a sus prácticas de seguridad de datos. La ironía es que probablemente gastaron más en compliance legal que en configurar correctamente sus buckets de almacenamiento.

La exposición de pasaportes en texto plano también plantea preguntas sobre qué tan preparadas están las empresas para manejar datos biométricos cuando los sistemas de verificación basados en IA se vuelvan estándar. Si no pueden proteger JPEGs de pasaportes, difícilmente puedan manejar embeddings faciales o huellas digitales encriptadas.