Die Spendenseite, die von Truckern in Ottawa genutzt wird, die derzeit gegen nationale Impfvorschriften protestieren, hat eine Sicherheitslücke behoben, durch die Pässe und Führerscheine von Spendern offengelegt wurden.
Der in Boston, Massachusetts, ansässige Spendendienst GiveSendGo wurde letzte Woche zum primären Spendendienst für den sogenannten „Freedom Convoy“, nachdem GoFundMe Spenden in Millionenhöhe eingefroren hatte, unter Berufung auf Polizeiberichte über Gewalt und Belästigung in der Stadt.
Der Protest, der im Januar begann, sah Tausende Demonstranten und Trucker kommen in Kanadas Hauptstadt, um sich gegen die obligatorischen COVID-19-Impfungen zu wehren, und legen die Straßen mit knurrendem Verkehr lahm. Eine Fundraising-Seite auf GoFundMe erreichte Spenden in Höhe von etwa 7,9 Millionen US-Dollar, bevor der Crowdsourcing-Riese einschritt, um die Kampagne zu blockieren, was dazu führte, dass die Fundraising-Bemühungen zu GiveSendGo verlagert wurden, das öffentlich zugänglich ist erklärte seine Unterstützung für den Protest. Laut einer Pressemitteilung sagte GiveSendGo, dass es am ersten Tag, an dem das Unternehmen die Kampagne veranstaltete, Spenden in Höhe von mehr als 4,5 Millionen US-Dollar für die Demonstranten des Freedom Convoy verarbeitet habe.
Tech wurde auf den Datenverlust aufmerksam, nachdem eine im Sicherheitsbereich arbeitende Person einen exponierten, von Amazon gehosteten S3-Bucket gefunden hatte, der über 50 Gigabyte an Dateien enthielt, darunter Pässe und Führerscheine, die während des Spendenprozesses gesammelt wurden.
Der Forscher sagte, er habe die Webadresse für den exponierten Bucket gefunden, indem er den Quellcode der Webseite des Freedom Convoy auf GiveSendGo angesehen habe.
S3-Buckets werden zum Speichern von Dateien, Dokumenten oder sogar ganzen Websites in der Cloud von Amazon verwendet, sind jedoch standardmäßig auf privat eingestellt und erfordern einen mehrstufigen Prozess, bevor der Inhalt eines Buckets öffentlich zugänglich gemacht werden kann.
Der freigelegte Eimer enthielt über tausend Fotos und Scans von Pässen und Führerscheinen, die seit dem 4. Februar hochgeladen wurden, als die Seite des Freedom Convoy zum ersten Mal auf GiveSendGo eingerichtet wurde. Die Dateinamen deuten darauf hin, dass die Ausweisdokumente während des Zahlungsvorgangs hochgeladen wurden, was einige Finanzinstitute verlangen, bevor sie die Zahlung oder Spende einer Person verarbeiten können.
Tech hat am Dienstag den Mitbegründer von GiveSendGo, Jacob Wells, mit Einzelheiten zu dem exponierten Eimer kontaktiert. Der Eimer wurde kurze Zeit später gesichert, aber Wells antwortete nicht auf unsere Fragen, einschließlich der Frage, ob GiveSendGo vorhatte, diejenigen, deren Informationen offengelegt wurden, über die Sicherheitslücke zu informieren.
Es ist nicht genau bekannt, wie lange der Bucket ungeschützt gelassen wurde, aber eine Textdatei, die von einem namenlosen Sicherheitsforscher vom September 2018 hinterlassen wurde, warnte davor, dass der Bucket „nicht richtig konfiguriert“ sei, was „gefährliche Auswirkungen auf die Sicherheit“ haben könne.
Weiterlesen: