カナダのワクチン義務化に抗議しているオタワのトラック運転手が利用している寄付サイトが、寄付者のパスポートや運転免許証が流出するセキュリティ上の不備を修正した。
マサチューセッツ州ボストンを拠点とする寄付サービスGiveSendGo(ギブセンドゴー)は先週、GoFundMe(ゴーファンドミー)が市内での暴力や嫌がらせに関する警察の報告を理由に数百万ドル(数億円)の寄付を凍結した後、いわゆる「フリーダム・コンボイ」活動の主要寄付サービスとなっていた。
1月に始まったこの抗議運動では、新型コロナワクチン接種の義務化に反対する数千人の抗議者とトラック運転手がカナダの首都に降り立ち、渋滞で通りがマヒするほどだ。GoFundMeの募金ページが約790万ドル(約9億1200万円)の寄付を達成した後、このクラウドソーシングの巨人はキャンペーンを阻止するために介入し、募金活動を、抗議活動への支援を公言するGiveSendGoに移行するよう促した。プレスリリースによると、GiveSendGoは、同社がキャンペーンを主催した初日に、フリーダム・コンボイの抗議者のために450万ドル以上(約5億1900万円)の寄付を処理したと述べている。
TechCrunchは、AmazonがホストするS3バケットに50Gバイトを超えるファイル(パスポートや運転免許証など)が保存されていることがセキュリティ分野の人物によって発見されたことを受けて、このデータ漏えいに関する情報を入手した。
この研究者は、GiveSendGoにあるフリーダム・コンボイのウェブページのソースコードを閲覧することで、公開されたバケットのウェブアドレスを見つけたという。
S3バケットは、ファイルや文書、あるいはウェブサイト全体をAmazonのクラウドに保存するために使用されるが、デフォルトでは非公開に設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数のステップのプロセスが必要だ。
公開されていたバケットには、フリーダム・コンボイのページがGiveSendGoに最初に設置された2月4日から、1000枚以上のパスポートと運転免許証の写真とスキャン画像がアップロードされていた。ファイル名から、一部の金融機関が個人の支払いや寄付を処理する前に必要とする、支払いプロセスで身分証明書がアップロードされていたことが示唆される。
TechCrunchは、GiveSendGoの共同設立者であるJacob Wells(ジェイコブ・ウェルズ)氏に、現地時間2月8日に公開されたバケットの詳細について連絡を取った。しばらくして、バケットの安全は確保されたようだが、ウェルズ氏は、GiveSendGoがセキュリティの欠陥について、情報が流出した人々に知らせる予定があるかどうかなどの質問には答えなかった。
バケットがいつまで晒されたままになっていたかは正確には不明だが、無名のセキュリティ研究者が残した2018年9月付けのテキストファイルには、バケットが「適切に設定されていない」ため「危険なセキュリティ上の影響を及ぼす」と警告されていた。
画像クレジット:Kadri Mohamed / Anadolu Agency / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Akihito Mizukoshi)
