据 news.ycombinator.com 的报道,自由职业平台 Fiverr 导致大量敏感客户文件处于公开状态,这些文件包括税务文件及个人身份信息(PII),且可在互联网上被直接搜索到。
此次漏洞源于该平台对 Cloudinary(一种用于处理图像和 PDF 的服务)的使用方式。据相关帖子显示,虽然 Cloudinary 支持带有签名且会过期访问的 URL,但 Fiverr 在客户与自由职业者沟通时,却选择了使用公开的 URL 来存储和传输资产。
用户发现,Google 搜索结果正在对这些文件进行索引。通过特定的搜索指令 `site:fiverr-res.cloudinary.com form 1040`,可以搜到数百份税务表格。
部分文件包含极度敏感的数据。用户 qingcharles 在平台上指出:“这太疯狂了。里面有成千上万个社保号码(SSN)。此外,很多在 Fiverr 上销售数字产品的用户,其所有的 PDF 课程也都在搜索结果中免费公开了。”
关键凭据遭到泄露
泄露范围不仅限于税务文件。Hacker News 讨论帖中的评论者发现,搜索结果中还包含了 API 令牌、渗透测试报告以及内部 API 文档。
用户 janoelze 表示,泄露的数据包括“非常容易找到的 API 令牌、渗透测试报告、机密 PDF 以及内部 API”。该用户敦促公司“在问题解决之前,立即封锁所有静态资产的访问权限”。
进一步的报告显示,泄露内容甚至涉及管理员凭据。用户 mpeg 声称发现了“大量的管理员凭据,而且这些凭据可能从未更改过”。
评论者 janoelze 还补充道,发现的内容甚至包括“约会网站的管理员密码,这类信息正是勒索软件攻击者的目标”。
原帖作者 morpheuskafka 表示,他们早在 40 天前就尝试通过 security@fiverr.com 联系 Fiverr 的安全团队,但未收到任何回复。由于该问题不符合标准的 CVE(常见漏洞披露)处理流程,相关信息才被公开披露。
此次泄露还可能引发法律责任。报告指出,Fiverr 甚至在针对“form 1234 filing”等关键词投放 Google 广告,但其产出的工作成果却未得到妥善保护,这可能导致报税人员违反 GLBA(格雷姆-里奇-比利雷法案)或 FTC(联邦贸易委员会)的保障规则。
