Les personnes qui ont fait un don pour soutenir les camionneurs qui participent actuellement au « Freedom Convoy » du Canada auraient pu voir leurs photos de passeport et de permis de conduire exposées en raison d’une faille de sécurité sur le site de don GiveSendGo.
Alors que la manifestation qui a débuté en janvier acceptait initialement les dons via GoFundMe, le géant du crowdsourcing a décidé de geler environ 7,9 millions de dollars de dons à la suite de rapports de police faisant état de violence et de harcèlement à Ottawa.
En conséquence, les camionneurs derrière le convoi ont décidé de passer au service de dons basé à Boston GiveSendGo comme alternative. Selon la société, elle a traité plus de 4,5 millions de dollars de dons pour le Freedom Convoy lors de sa première journée d’accueil de la campagne « Adopt a Trucker ».
En plus de cet énorme afflux de dons, GiveSendGo a également vu beaucoup de trafic malveillant sur son site selon le co-fondateur Jacob Wells qui a expliqué la situation plus en détail dans un communiqué de presse, en disant :
«En plus de l’énorme démonstration de soutien, il y a aussi eu beaucoup de recul. Nous avons vu près de 10 millions de bots essayer de submerger nos serveurs au cours des deux dernières heures seulement. Bien que cela ait causé des problèmes à la plate-forme, nous ne la laisserons pas faire obstacle à la fourniture d’un moyen sûr et efficace de collecte de fonds pour notre propriétaire de campagne à travers le monde.
Seau S3 exposé
Tel que rapporté par Tech Crunchune personne travaillant dans le secteur de la sécurité a informé le média qu’elle avait découvert l’adresse Web d’un compartiment Amazon S3 exposé en consultant le code source de la page du Freedom Convoy sur GiveSendGo.
Ce compartiment S3 exposé contenait plus de 50 Go de fichiers, dont plus d’un millier de photos de passeports et de permis de conduire collectés auprès de donateurs. Ces documents ont probablement été soumis à GiveSendGo pendant le processus de paiement, car certaines institutions financières exigent que cela soit fait avant qu’un paiement puisse être traité.
Après avoir pris connaissance du compartiment S3 exposé et des informations personnelles qu’il contenait, Tech Crunch a contacté Wells et il a été sécurisé peu de temps après. Bien que l’on ne sache pas combien de temps le bucket a été accessible au public en ligne, un fichier texte laissé par un chercheur en sécurité à partir de septembre 2018 a averti que le bucket n’était « pas correctement configuré ».
Comme d’innombrables entreprises ont laissé leurs bases de données non sécurisées et leurs buckets S3 exposés en ligne au fil des ans, les consommateurs peuvent protéger de manière proactive leurs données personnelles en ligne en investissant dans la protection contre le vol d’identité.
Via TechCrunch