渥太华卡车司机抗议活动捐赠网站现安全漏洞：捐赠者数据遭曝光

获悉，目前在渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站已经修复了一个安全漏洞，该漏洞暴露了捐赠者的护照和驾驶执照。位于马萨诸塞州波士顿的捐赠服务GiveSendGo上周成为Freedom Convoy的主要捐赠服务商，此前GoFundMe冻结了数百万美元的捐赠，理由是警方报告了该市的暴力和骚扰。

http://hackernews.cc/wp-content/uploads/2022/02/3d72312f92325b2-600x338.png

抗议活动始于1月，数千名抗议者和卡车司机来到加拿大首都，致使街道交通陷入瘫痪。他们反对强制接种COVID-19疫苗。在GoFundMe上的一个筹款页面达到了约790万美元的捐款，众包巨头出面阻止了该活动，促使筹款工作转移到GiveSendGo–该公司公开宣布支持抗议活动。根据一份新闻稿，GiveSendGo表示，在该公司主办活动的第一天，它已经为Freedom Convoy的抗议者处理了超450万美元的捐款。

在安全领域工作的一位工作人员发现了一个暴露的亚马逊托管的S3储存库，其中包含超过50GB的文件–里边有在捐赠过程中收集的护照和驾驶执照，之后TechCrunch得到了这个数据丢失的消息。

该研究人员称，他们通过查看自由车队在GiveSendGo上的网页的源代码发现了这个暴露的桶的网络地址。

S3储存库用于在亚马逊的云中存储文件、文档甚至整个网站，但默认设置为私有，在储存库的内容被公开供任何人访问之前需要一个多步骤的过程。

自2月4日Freedom Convoy的页面首次在GiveSendGo上建立以来，被曝光的储存库内有超1000张照片和护照及驾驶执照的扫描件。这些文件名表明，这些身份文件是在支付过程中上传的，一些金融机构在处理一个人的付款或捐款之前需要这些文件。

当地时间周二，TechCrunch联系了GiveSendGo的联合创始人Jacob Wells以了解了被曝光的储存库的细节信息，但Wells没有回应。

目前还不知道这个储存库到底被暴露了多久，但一位不愿透露姓名的安全研究员留下的一个文本文件显示日期为2018年9月，并警告称这个储存库“没有正确配置”、可能会产生“危险的安全影响”。

（消息及封面来源：cnBeta）