カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出
今回は「カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出」についてご紹介します。
関連ワード (ため、影響、警告等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
カナダのワクチン義務化に抗議しているオタワのトラック運転手が利用している寄付サイトが、寄付者のパスポートや運転免許証が流出するセキュリティ上の不備を修正した。
マサチューセッツ州ボストンを拠点とする寄付サービスGiveSendGo(ギブセンドゴー)は先週、GoFundMe(ゴーファンドミー)が市内での暴力や嫌がらせに関する警察の報告を理由に数百万ドル(数億円)の寄付を凍結した後、いわゆる「フリーダム・コンボイ」活動の主要寄付サービスとなっていた。
1月に始まったこの抗議運動では、新型コロナワクチン接種の義務化に反対する数千人の抗議者とトラック運転手がカナダの首都に降り立ち、渋滞で通りがマヒするほどだ。GoFundMeの募金ページが約790万ドル(約9億1200万円)の寄付を達成した後、このクラウドソーシングの巨人はキャンペーンを阻止するために介入し、募金活動を、抗議活動への支援を公言するGiveSendGoに移行するよう促した。プレスリリースによると、GiveSendGoは、同社がキャンペーンを主催した初日に、フリーダム・コンボイの抗議者のために450万ドル以上(約5億1900万円)の寄付を処理したと述べている。
TechCrunchは、AmazonがホストするS3バケットに50Gバイトを超えるファイル(パスポートや運転免許証など)が保存されていることがセキュリティ分野の人物によって発見されたことを受けて、このデータ漏えいに関する情報を入手した。
この研究者は、GiveSendGoにあるフリーダム・コンボイのウェブページのソースコードを閲覧することで、公開されたバケットのウェブアドレスを見つけたという。
S3バケットは、ファイルや文書、あるいはウェブサイト全体をAmazonのクラウドに保存するために使用されるが、デフォルトでは非公開に設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数のステップのプロセスが必要だ。
公開されていたバケットには、フリーダム・コンボイのページがGiveSendGoに最初に設置された2月4日から、1000枚以上のパスポートと運転免許証の写真とスキャン画像がアップロードされていた。ファイル名から、一部の金融機関が個人の支払いや寄付を処理する前に必要とする、支払いプロセスで身分証明書がアップロードされていたことが示唆される。
TechCrunchは、GiveSendGoの共同設立者であるJacob Wells(ジェイコブ・ウェルズ)氏に、現地時間2月8日に公開されたバケットの詳細について連絡を取った。しばらくして、バケットの安全は確保されたようだが、ウェルズ氏は、GiveSendGoがセキュリティの欠陥について、情報が流出した人々に知らせる予定があるかどうかなどの質問には答えなかった。
バケットがいつまで晒されたままになっていたかは正確には不明だが、無名のセキュリティ研究者が残した2018年9月付けのテキストファイルには、バケットが「適切に設定されていない」ため「危険なセキュリティ上の影響を及ぼす」と警告されていた。
画像クレジット:Kadri Mohamed / Anadolu Agency / Getty Images
【原文】
The donation site used by truckers in Ottawa who are currently protesting against national vaccine mandates has fixed a security lapse that exposed passports and driver licenses of donors.
The Boston, Massachusetts-based donation service GiveSendGo became the primary donation service for the so-called “Freedom Convoy” last week after GoFundMe froze millions of dollars in donations, citing police reports of violence and harassment in the city.
The protest, which began in January, saw thousands of protesters and truckers descend on Canada’s capital to oppose mandatory COVID-19 vaccinations, paralyzing the streets with snarling traffic. A fundraising page on GoFundMe reached about $7.9 million in donations before the crowdsourcing giant stepped in to block the campaign, prompting the fundraising effort to move to GiveSendGo, which publicly declared its support for the protest. According to a press release, GiveSendGo said it had processed more than $4.5 million in donations for the Freedom Convoy protesters during its first day of the company hosting the campaign.
TechCrunch was tipped off to the data lapse after a person working in the security space found an exposed Amazon-hosted S3 bucket containing over 50 gigabytes of files, including passports and driver licenses that were collected during the donation process.
The researcher said they found the web address for the exposed bucket by viewing the source code of the Freedom Convoy’s webpage on GiveSendGo.
S3 buckets are used for storing files, documents or even entire websites in Amazon’s cloud but are set to private by default, and require a multi-step process before a bucket’s contents can be made public for anyone to access.
The exposed bucket had over a thousand photos and scans of passports and driver licenses uploaded since February 4, when the Freedom Convoy’s page was first set up on GiveSendGo. The filenames suggest that the identity documents were uploaded during the payments process, which some financial institutions require before they can process a person’s payment or donation.
TechCrunch contacted GiveSendGo co-founder Jacob Wells with details of the exposed bucket on Tuesday. The bucket was secured a short time later, but Wells did not respond to our questions, including if GiveSendGo planned on informing about the security lapse those whose information was exposed.
It’s not known for exactly how long the bucket was left exposed, but a text file left behind by an unnamed security researcher, dated September 2018, warned that the bucket was “not properly configured” which can have “dangerous security implications.”
Read more:
(文:Zack Whittaker、翻訳:Akihito Mizukoshi)