渥太华卡车司机抗议活动捐赠网站泄露抗议者信息
- A
近日,用于渥太华抗议加拿大国家疫苗规定的卡车司机的捐赠网站修复一个漏洞,该漏洞暴露了捐赠者护照和驾照。
此次反对国家强制接种新冠病毒疫苗抗议活动始于年初,数千名抗议者和卡车司机涌入渥太华而导致接到交通瘫痪。
他们在美国众筹网站 GoFundMe 上发起了一次众筹捐款,金额很快就达到了约 790 万美元,却被GoFundMe冻结。
GoFundMe 平台对于冻结捐款给出的理由,是警方认为这项捐款会被用于针对加拿大首都渥太华的暴力和骚扰事件。
这些抗议者和卡车司机发起的名为“Freedom Convoy 2022”抗议活动的捐赠服务,被迫转移到了GiveSendGo平台上。
这家位于马萨诸塞州波士顿的 GiveSendGo 公开宣布支持此次抗议活动,之后就变成了此次抗议的主要捐赠服务商。
GiveSendGo 在一份新闻稿中称,该公司主办活动的第一天,就为此次活动的捐赠服务处理了超 450 万美元的捐款。
不过,有安全人员在亚马逊托管的 S3 储存库中发现一个暴露的桶,之后将消息透露给美国科技类博客TechCrunch。
安全人员称,他们是通过查看 Freedom Convoy(自由车队) 在 GiveSendGo 上的源代码时发现这个暴露的桶的地址。
经查看,这个桶里存储有超过 50GB 的文件,里面包含在捐赠过程中收集到的抗议者的护照以及驾驶执照的扫描件。
相关文件表明这些身份信息是在支付过程中上传的,因为一些金融机构在处理个人付款或捐款时需要提交这些文件。
之后,TechCrunch 联系了 GiveSendGo 的联合创始人希望能了解关于曝光的储存库的细节信息,但没有得到回应。
众所周知,亚马逊 S3 存储库为开发人员一个高效、安全、持久和高度可扩展的对象服务,其默认设置为私有状态。
开发人员可以利用 S3 存储库在云端存储文件、文档甚至是整个静态网站,笔者就是典型的对象存储的重度依赖者。
目前栋科技网站及诸多相关服务所依赖的资源都托管在云端,采用的就是高效、稳定而且支持内容分发的对象存储。
只不过笔者目前使用的是阿里云、景安网络、七牛云以及又拍云这几家国内运营商提供的服务,亚马逊还没使用过。
云服务提供商会在开发人员建立存储桶后默认将其设置为隐私状态,所以笔者好奇为什么上述的开发者要设置公开。
如此一来,这些抗议者的相关信息已经被完全曝光,尤其是那些卡车司机们的护照和驾照更是直接暴露在互联网中。
如果加拿大警方获取到这些数据必然会按图索骥,将抗议者一网打尽,所以,这个开发不会是警方的线人吧,哈哈。
