文章摘要
Fiverr平台出现安全漏洞,导致客户文件被公开并可被搜索访问,引发用户隐私泄露担忧。
文章总结
标题:Fiverr客户文件被曝公开可搜索
主要内容:
知名自由职业平台Fiverr(Upwork的竞争对手)被曝存在严重数据泄露问题。该平台使用Cloudinary服务处理用户间传输的PDF和图片文件(包括工作成果),但未对敏感文件链接启用签名或时效性保护,导致文件通过公开URL暴露。更严重的是,部分文件可能被公开HTML页面索引,使得数百份含个人身份信息(PII)的文件出现在谷歌搜索结果中。例如,搜索关键词“site:fiverr-res.cloudinary.com form 1040”即可发现大量税务表格。
关键细节:
1. 安全问题:Fiverr未遵循Cloudinary的安全建议,未对敏感文件链接进行签名或设置过期时间。
2. 影响范围:泄露文件包括税务表格(如1040表)、API密钥、渗透测试报告、内部API文档等,甚至包含管理员凭证。
3. 监管风险:平台在明知文件未加密的情况下仍投放谷歌广告(如“form 1234 filing”),可能违反GLBA/FTC安全规则。
4. 响应迟缓:漏洞提交者40天前已通过官方安全邮箱(security@fiverr.com)报告,但未获回应。
用户评论摘录:
- 发现大量机密PDF和财务信息,建议Fiverr立即封锁静态资源访问。
- 泄露内容包含未更改的管理员凭证,风险极高。
- 有用户调侃发现一本名为《HOOD NIGGA AFFIRMATIONS》的书稿草稿。
背景补充:
Fiverr虽设有漏洞赏金计划(与BugCrowd合作),但此次事件因非代码漏洞性质,可能不符合CVE/CERT处理标准。
现状:
截至披露时,问题仍未修复,相关文件仍可通过搜索引擎公开获取。
评论总结
总结评论内容:
- 关于漏洞报告流程的讨论(评论1)
- 指出Fiverr的安全联系方式和漏洞赏金计划 关键引用: "You followed the correct reporting instructions" "Fiverr operates a Bug Bounty program in collaboration with BugCrowd"
- 对数据泄露严重性的震惊(评论2,3,4,5,7,8,9)
- 认为泄露1040表格等敏感信息非常严重
- 对信息被Google索引表示惊讶 关键引用: "Leaking form 1040s is egregious, let alone getting them indexed by Google" "all the important information is wild in public" "This is bad"
- 对公司行为的批评(评论6)
- 质疑公司收购后又放弃产品的决策 关键引用: "They bought and.co and then dropped it. strange company"
- 对泄露文件中异常内容的调侃(评论8)
- 发现一本名为《HOOD NIGGA AFFIRMATIONS》的书稿 关键引用: "the most interesting file...titled 'HOOD NIGGA AFFIRMATIONS'" "I made it to page 27 out of 63"
- 建议向相关平台报告(评论9)
- 提议向Cloudinary的漏洞赏金计划报告 关键引用: "Probably not in scope but maybe https://bugcrowd.com/engagements/cloudinary will care?"