Fiverr ha dejado archivos confidenciales de sus clientes —incluyendo documentos fiscales e información de identificación personal— accesibles al público y rastreables en la web, según un informe publicado en news.ycombinator.com.
La vulnerabilidad se origina en la forma en que la plataforma de servicios freelance utiliza Cloudinary, un servicio de procesamiento de imágenes y PDFs. Aunque dicho servicio permite el uso de URLs firmadas con tiempo de expiración, la plataforma optó por utilizar URLs públicas para los archivos compartidos en las comunicaciones entre clientes y trabajadores, según indica la publicación.
Diversos usuarios descubrieron que los resultados de búsqueda de Google están indexando estos archivos. Una consulta de búsqueda específica, `site:fiverr-res.cloudinary.com form 1040`, revela cientos de formularios de impuestos.
Algunos archivos contienen datos de extrema sensibilidad. El usuario qingcharles señaló en la plataforma: "Es una locura. Hay miles de números de seguridad social ahí. Además, aparecen gratis en los resultados de búsqueda muchos cursos en PDF de personas de Fiverr que venden productos digitales".
Credenciales críticas expuestas
La filtración va más allá de los documentos fiscales. En el hilo de Hacker News, varios comentaristas identificaron tokens de API, informes de pruebas de penetración y documentación interna de APIs dentro de los resultados rastreables.
El usuario janoelze afirmó que los datos filtrados incluyen "tokens de API muy fáciles de encontrar, informes de pruebas de penetración, PDFs confidenciales [y] APIs internas". El usuario instó a la empresa a "bloquear inmediatamente todo el acceso a activos estáticos hasta que esto se resuelva".
Otros informes sugieren que la filtración también contiene credenciales administrativas. El usuario mpeg afirmó haber encontrado "muchas credenciales de administrador también, que probablemente nunca se han cambiado".
Un comentarista, janoelze, añadió que el hallazgo incluye "contraseñas de administrador de sitios de citas; ese es el tipo de información que se usa para chantajear a la gente".
El autor de la publicación original, morpheuskafka, informó que intentó notificar al equipo de seguridad de Fiverr hace 40 días a través de security@fiverr.com, pero no recibió respuesta. Debido a que el problema no califica para el proceso estándar de CVE, la información se hizo pública.
Esta filtración también podría generar responsabilidades legales para los usuarios. El informe señala que Fiverr compra activamente anuncios en Google para palabras clave como "presentación de formulario 1234", a pesar de que los productos resultantes no están debidamente protegidos, lo que podría provocar que los preparadores de impuestos infrinjan la Regla de Salvaguardas de la FTC/GLBA.
