Le site de don utilisé par les camionneurs à Ottawa qui protestent actuellement contre les mandats nationaux de vaccination a corrigé une faille de sécurité qui a exposé les passeports et les permis de conduire des donneurs.
Le service de dons GiveSendGo, basé à Boston, dans le Massachusetts, est devenu le principal service de dons du soi-disant « Freedom Convoy » la semaine dernière après que GoFundMe ait gelé des millions de dollars de dons, citant des rapports de police faisant état de violence et de harcèlement dans la ville.
La manifestation, qui a commencé en janvier, a vu des milliers de manifestants et de camionneurs descendre dans la capitale du Canada pour s’opposer aux vaccinations obligatoires contre le COVID-19, paralysant les rues avec une circulation grondante. Une page de collecte de fonds sur GoFundMe a atteint environ 7,9 millions de dollars de dons avant que le géant du crowdsourcing n’intervienne pour bloquer la campagne, incitant l’effort de collecte de fonds à passer à GiveSendGo, qui a publiquement déclaré son soutien à la manifestation. Selon un communiqué de presse, GiveSendGo a déclaré avoir traité plus de 4,5 millions de dollars de dons pour les manifestants du Freedom Convoy au cours de son premier jour de la société organisant la campagne.
TechCrunch a été informé de l’expiration des données après qu’une personne travaillant dans l’espace de sécurité a trouvé un compartiment S3 exposé hébergé par Amazon contenant plus de 50 gigaoctets de fichiers, y compris des passeports et des permis de conduire qui ont été collectés au cours du processus de don.
Le chercheur a déclaré avoir trouvé l’adresse Web du seau exposé en consultant le code source de la page Web de Freedom Convoy sur GiveSendGo.
Les buckets S3 sont utilisés pour stocker des fichiers, des documents ou même des sites Web entiers dans le cloud d’Amazon, mais sont définis comme privés par défaut et nécessitent un processus en plusieurs étapes avant que le contenu d’un bucket puisse être rendu public pour que quiconque puisse y accéder.
Le seau exposé contenait plus d’un millier de photos et de scans de passeports et de permis de conduire téléchargés depuis le 4 février, date à laquelle la page du Freedom Convoy a été créée pour la première fois sur GiveSendGo. Les noms de fichiers suggèrent que les documents d’identité ont été téléchargés pendant le processus de paiement, ce que certaines institutions financières exigent avant de pouvoir traiter le paiement ou le don d’une personne.
TechCrunch a contacté le co-fondateur de GiveSendGo, Jacob Wells, avec des détails sur le seau exposé mardi. Le seau a été sécurisé peu de temps après, mais Wells n’a pas répondu à nos questions, y compris si GiveSendGo prévoyait d’informer de la défaillance de la sécurité ceux dont les informations ont été exposées.
On ne sait pas exactement pendant combien de temps le seau a été laissé exposé, mais un fichier texte laissé par un chercheur en sécurité anonyme, daté de septembre 2018, a averti que le seau n’était « pas correctement configuré », ce qui peut avoir « des implications dangereuses pour la sécurité ».
Lire la suite: