渥太华卡车司机抗议活动捐赠网站现安全漏洞：捐赠者数据遭曝光

抗议活动始于1月，数千名抗议者和卡车司机来到加拿大首都，致使街道交通陷入瘫痪。他们反对强制接种COVID-19疫苗。在GoFundMe上的一个筹款页面达到了约790万美元的捐款，众包巨头出面阻止了该活动，促使筹款工作转移到GiveSendGo--该公司公开宣布支持抗议活动。根据一份新闻稿，GiveSendGo表示，在该公司主办活动的第一天，它已经为Freedom Convoy的抗议者处理了超450万美元的捐款。

在安全领域工作的一位工作人员发现了一个暴露的亚马逊托管的S3储存库，其中包含超过50GB的文件--里边有在捐赠过程中收集的护照和驾驶执照，之后TechCrunch得到了这个数据丢失的消息。

该研究人员称，他们通过查看自由车队在GiveSendGo上的网页的源代码发现了这个暴露的桶的网络地址。

S3储存库用于在亚马逊的云中存储文件、文档甚至整个网站，但默认设置为私有，在储存库的内容被公开供任何人访问之前需要一个多步骤的过程。

自2月4日Freedom Convoy的页面首次在GiveSendGo上建立以来，被曝光的储存库内有超1000张照片和护照及驾驶执照的扫描件。这些文件名表明，这些身份文件是在支付过程中上传的，一些金融机构在处理一个人的付款或捐款之前需要这些文件。

当地时间周二，TechCrunch联系了GiveSendGo的联合创始人Jacob Wells以了解了被曝光的储存库的细节信息，但Wells没有回应。

目前还不知道这个储存库到底被暴露了多久，但一位不愿透露姓名的安全研究员留下的一个文本文件显示日期为2018年9月，并警告称这个储存库“没有正确配置”、可能会产生“危险的安全影响”。