Ottawa’da şu anda ulusal aşı zorunluluklarını protesto eden kamyoncuların kullandığı bağış sitesi, bağışçıların pasaportlarını ve ehliyetlerini açığa çıkaran bir güvenlik açığını düzeltti.
Boston, Mass. merkezli bağış hizmeti GiveSendGo, geçen hafta GoFundMe’nin şehirdeki şiddet ve tacize ilişkin polis raporlarını gerekçe göstererek milyonlarca dolarlık bağışı dondurmasının ardından sözde “Özgürlük Konvoyu” için birincil bağış hizmeti haline geldi.
Ocak ayında başlayan protesto, binlerce protestocu ve kamyoncu Sokakları hırıltılı trafikle felç ederek zorunlu COVID-19 aşılarına karşı çıkmak için Kanada’nın başkentine inin. GoFundMe’deki bir bağış toplama sayfası, kitle kaynak devi kampanyayı engellemek için adım atmadan önce bağışlarda yaklaşık 7,9 milyon dolara ulaştı ve bağış toplama çabasını, halka açık olan GiveSendGo’ya geçmek için harekete geçirdi. desteğini açıkladı protesto için. Bir basın açıklamasına göre GiveSendGo, kampanyaya ev sahipliği yaptığı şirketin ilk gününde Özgürlük Konvoyu protestocuları için 4,5 milyon doların üzerinde bağış topladığını söyledi.
TechCrunch, güvenlik alanında çalışan bir kişinin, bağış işlemi sırasında toplanan pasaportlar ve ehliyetler de dahil olmak üzere 50 gigabayttan fazla dosya içeren, Amazon tarafından barındırılan açıkta bir S3 kovası bulması üzerine veri atlaması konusunda bilgilendirildi.
Araştırmacı, Freedom Convoy’un web sayfasının kaynak kodunu GiveSendGo’da görüntüleyerek açıkta kalan kovanın web adresini bulduklarını söyledi.
S3 klasörleri, dosyaları, belgeleri ve hatta tüm web sitelerini Amazon’un bulutunda depolamak için kullanılır, ancak varsayılan olarak özel olarak ayarlanır ve bir paketin içeriği herkesin erişebilmesi için herkese açık hale getirilmeden önce çok adımlı bir süreç gerektirir.
Açığa çıkan kovaya, Freedom Convoy’un sayfasının GiveSendGo’da ilk kez kurulduğu 4 Şubat’tan bu yana binden fazla fotoğraf ve pasaport taraması ve ehliyet taraması yüklendi. Dosya adları, kimlik belgelerinin bazı finansal kurumların bir kişinin ödemesini veya bağışını işleme koymadan önce talep ettiği ödeme işlemi sırasında yüklendiğini gösteriyor.
TechCrunch, Salı günü açıkta kalan kepçenin ayrıntıları ile GiveSendGo kurucu ortağı Jacob Wells ile temasa geçti. Kova kısa bir süre sonra emniyete alındı, ancak Wells, GiveSendGo’nun bilgileri güvenlik açığı hakkında ifşa edilenleri bilgilendirmeyi planlayıp planlamadığı da dahil olmak üzere sorularımıza yanıt vermedi.
Kovanın tam olarak ne kadar süreyle açıkta kaldığı bilinmiyor, ancak isimsiz bir güvenlik araştırmacısı tarafından geride bırakılan ve Eylül 2018 tarihli bir metin dosyası, kovanın “tehlikeli güvenlik etkileri” olabilecek “doğru şekilde yapılandırılmadığı” konusunda uyardı.
Daha fazla oku: