現在、国のワクチン接種義務化に抗議しているオタワのトラック運転手らが利用している寄付サイトで、寄付者のパスポートや運転免許証が露出していたセキュリティ上の欠陥が修正された。
マサチューセッツ州ボストンに拠点を置く寄付サービス「GiveSendGo」は先週、市内での暴力や嫌がらせに関する警察の報告を理由にGoFundMeが数百万ドルの寄付を凍結したことを受けて、いわゆる「フリーダム・コンボイ」の主な寄付サービスとなった。
1月に始まったこの抗議活動では、数千人もの抗議者とトラック運転手がカナダの首都に集結し、新型コロナウイルスワクチンの義務化に反対しました。交通渋滞で道路は麻痺状態に陥りました。クラウドソーシング大手GoFundMeの募金ページは約790万ドルの寄付を集めましたが、このキャンペーンが介入して阻止されたため、募金活動は抗議活動への支持を公に表明していたGiveSendGoに移行しました。GiveSendGoのプレスリリースによると、同社はキャンペーンを主催した初日に、フリーダム・コンボイの抗議活動参加者への寄付として450万ドル以上を処理したとのことです。
セキュリティ分野の担当者が、寄付のプロセス中に収集されたパスポートや運転免許証など、50ギガバイトを超えるファイルを含む、Amazonがホストする無防備なS3バケットを発見したことから、TechCrunchはデータ漏洩について知らされた。
研究者は、GiveSendGo 上の Freedom Convoy の Web ページのソース コードを閲覧することで、公開されたバケットの Web アドレスを発見したと述べています。
S3 バケットは、Amazon のクラウドにファイル、ドキュメント、さらには Web サイト全体を保存するために使用されますが、デフォルトではプライベートに設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数の手順を踏む必要があります。
公開されたバケットには、Freedom ConvoyのページがGiveSendGoに初めて開設された2月4日以降、1000枚を超える写真やパスポート、運転免許証のスキャンがアップロードされていました。ファイル名から、これらの身分証明書は決済手続き中にアップロードされたことが示唆されます。一部の金融機関では、個人からの支払いや寄付を処理する前に、身分証明書のアップロードを義務付けています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
TechCrunchは火曜日、GiveSendGoの共同創業者であるジェイコブ・ウェルズ氏に連絡を取り、漏洩したバケットの詳細について問い合わせた。バケットはすぐに確保されたが、ウェルズ氏は、漏洩した情報を持つ人々にGiveSendGoがこのセキュリティ上の欠陥について通知する予定があるかどうかなど、私たちの質問には回答しなかった。
バケットがどれくらいの期間無防備な状態に置かれていたかは正確には不明だが、匿名のセキュリティ研究者が残した2018年9月の日付のテキストファイルには、バケットが「適切に構成されていない」ため「危険なセキュリティ上の影響」が生じる可能性があると警告されていた。
続きを読む:
- 英国外務省、サイバーインシデント発生後「緊急支援」要請
- サードパーティ製ソフトウェアの欠陥により、数十台のテスラがリモートアクセスにさらされた
- 赤十字のデータ侵害で、脆弱な立場にある51万5000人の位置情報と連絡先データが盗まれた
トピック
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
