渥太華卡車司機抗議活動捐贈網站現安全漏洞:捐贈者數據遭曝光
獲悉,目前在渥太華抗議加拿大國家疫苗規定的卡車司機使用的捐贈網站已經修復了一個安全漏洞,該漏洞暴露了捐贈者的護照和駕駛執照。位於馬薩諸塞州波士頓的捐贈服務GiveSendGo上周成為Freedom Convoy的主要捐贈服務商,此前GoFundMe凍結了數百萬美元的捐贈,理由是警方報告了該市的暴力和騷擾。
抗議活動始於1月,數千名抗議者和卡車司機來到加拿大首都,致使街道交通陷入癱瘓。他們反對強制接種COVID-19疫苗。在GoFundMe上的一個籌款頁面達到了約790萬美元的捐款,眾包巨頭出面阻止了該活動,促使籌款工作轉移到GiveSendGo–該公司公開宣布支持抗議活動。根據一份新聞稿,GiveSendGo表示,在該公司主辦活動的第一天,它已經為Freedom Convoy的抗議者處理了超450萬美元的捐款。
在安全領域工作的一位工作人員發現了一個暴露的亞馬遜託管的S3儲存庫,其中包含超過50GB的文件–裡邊有在捐贈過程中收集的護照和駕駛執照,之後TechCrunch得到了這個數據丟失的消息。
該研究人員稱,他們通過查看自由車隊在GiveSendGo上的網頁的源代碼發現了這個暴露的桶的網絡地址。
S3儲存庫用於在亞馬遜的雲中存儲文件、文檔甚至整個網站,但默認設置為私有,在儲存庫的內容被公開供任何人訪問之前需要一個多步驟的過程。
自2月4日Freedom Convoy的頁面首次在GiveSendGo上建立以來,被曝光的儲存庫內有超1000張照片和護照及駕駛執照的掃描件。這些文件名表明,這些身份文件是在支付過程中上傳的,一些金融機構在處理一個人的付款或捐款之前需要這些文件。
當地時間週二,TechCrunch聯繫了GiveSendGo的聯合創始人Jacob Wells以了解了被曝光的儲存庫的細節信息,但Wells沒有回應。
目前還不知道這個儲存庫到底被暴露了多久,但一位不願透露姓名的安全研究員留下的一個文本文件顯示日期為2018年9月,並警告稱這個儲存庫“沒有正確配置”、可能會產生“危險的安全影響”。