Fiverr deixou arquivos de clientes públicos e pesquisáveis

 (news.ycombinator.com)
1 pontos por GN⁺ 14 일 전 | Ainda não há comentários. | Compartilhar no WhatsApp
  • O Fiverr forneceu PDFs e imagens trocados via Cloudinary por URLs públicas, sem URLs assinadas, o que expôs centenas de documentos de clientes em buscas no Google
  • Entre os materiais expostos havia informações sensíveis como declarações de imposto (Form 1040), números de Seguro Social (SSN), tokens de API e documentos de saúde
  • Embora tenha recebido o relato 40 dias antes, o Fiverr não respondeu, e só depois começou a agir dizendo tratar-se de um “segundo relato”
  • A comunidade vê o caso como uma combinação de desconhecimento técnico e falha estrutural de segurança, criticando a ausência de proteção real apesar da certificação ISO 27001
  • O incidente é avaliado como um exemplo da falta de conscientização em segurança e da evasão de responsabilidade em toda a indústria

Caso de exposição pública de arquivos de clientes do Fiverr

  • Foi revelado que o Fiverr, ao processar PDFs e imagens trocados entre clientes e prestadores por meio do Cloudinary, usava URLs públicas em vez de URLs assinadas com expiração
    • Assim como o Amazon S3, o Cloudinary entrega ativos diretamente ao cliente web e oferece suporte a URLs assinadas, mas o Fiverr não utilizou esse recurso
    • Alguns arquivos estavam linkados em páginas HTML públicas, o que fez com que centenas deles aparecessem nos resultados do Google
    • Exemplos de busca incluem site:fiverr-res.cloudinary.com form 1040, e vários documentos com informações de identificação pessoal (PII) foram encontrados
    • Um alerta foi enviado ao e-mail de segurança (security@fiverr.com) 40 dias antes, sem resposta, e como o caso não se enquadrava em CVE/CERT, acabou sendo divulgado publicamente

Principais casos de exposição e alcance do dano

  • Exposição de declarações de imposto e documentos sensíveis

    • Por meio do Google, era possível acessar diretamente documentos pessoais, incluindo declarações de imposto (Form 1040)
    • Também havia relatórios internos de organizações sem fins lucrativos, documentos ligados ao tratamento de crianças e materiais enviados para tradução, incluindo dados sensíveis de ONGs e de pessoas em situação vulnerável
    • Alguns usuários descreveram a situação como uma “quebra de confiança capaz de inviabilizar a continuidade do negócio

  • Possíveis violações legais e regulatórias

    • O Fiverr comprava anúncios no Google com palavras-chave fiscais como “form 1234 filing”, mas mantinha segurança insuficiente, o que pode configurar violação da GLBA/FTC Safeguards Rule
    • Em alguns comentários, foi mencionada a necessidade de denunciar o caso à FTC

  • Tipos de dados expostos

    • Entre os dados estavam números de Seguro Social (SSN), documentos fiscais, tokens de API, relatórios de teste de intrusão e informações de contas administrativas
    • Alguns arquivos continham até informações relacionadas à saúde
    • Materiais pagos em PDF publicados por vendedores do Fiverr também apareciam gratuitamente nos resultados de busca

Reação da comunidade e discussão sobre medidas posteriores

  • Críticas à ausência de resposta de segurança

    • Houve muitas críticas como “5 horas se passaram e nada foi feito” e “ao menos deveriam remover manualmente os arquivos sensíveis”
    • Alguns avaliaram que o problema não era “simples descuido, mas falta de compreensão técnica”, ou seja, uma falha estrutural
    • Embora tenham sido mencionadas a certificação ISO 27001 do Fiverr e certificações de segurança da AWS, os arquivos enviados na prática eram armazenados no Cloudinary

  • E-mail de resposta do Fiverr

    • O Fiverr respondeu dizendo que era a “segunda vez” que recebia esse relato e que não havia registro do aviso enviado 40 dias antes
    • O denunciante divulgou os registros de envio e rebateu, afirmando que “a própria decisão de não usar URLs assinadas já é uma falha de segurança
    • Também houve vários relatos de que o suporte do Fiverr fica preso em um loop de tickets, tornando impossível uma resposta efetiva

  • Menções a entidades externas e plataformas

    • O arquivo .well-known/security.txt do Fiverr traz informações sobre um programa de bug bounty em parceria com o BugCrowd, mas a resposta prática foi considerada insuficiente
    • Discutiu-se se o caso poderia entrar no escopo do bug bounty da Cloudinary, mas concluiu-se que, pela estrutura do site do cliente, não haveria ação imediata possível
    • O banco de dados Lumen mostrou registros anteriores de pedidos de DMCA relacionados ao mesmo problema

Causa técnica e problema estrutural

  • Caminho de indexação pelo Google

    • O Google não indexa URLs aleatórias; ele só indexa arquivos acessíveis por links ou por sitemap
    • Supõe-se que o Fiverr tenha referenciado arquivos da Cloudinary em páginas HTML públicas ou no sitemap
    • Alguns usuários sugeriram adicionar “robots.txt” ou rotas com autenticação

  • Falta de consciência de segurança

    • Muitos comentários apontaram um problema mais amplo no setor: há muitos “desenvolvedores que nem entendem os próprios conceitos de segurança
    • Foram citados casos em que sequer se conhecem conceitos como “acesso direto a objetos (Direct Object Access)”, “robots.txt” ou “sitemap”
    • Também houve críticas de que estruturas de desenvolvimento baseadas em terceirização barata acabam reduzindo a qualidade da segurança

Outras discussões e reação pública

  • Expectativa de cobertura pela imprensa

    • Foi mencionada a necessidade de cobertura por veículos de tecnologia como Wired, Ars Technica e 404 Media
    • Muitos comentaram que “esse é o tipo de caso que a imprensa deveria cobrir”

  • Sátira e críticas

    • Houve reações em tom de deboche, como “o Fiverr terceirizou a segurança no próprio Fiverr?” e “isso aqui é caso de jogar tudo no fogo (Burn it to the ground)”
    • Alguns criticaram o caso como resultado de uma abordagem “AI-first” que teria destruído processos internos

  • Outros casos

    • Um usuário comentou ter encontrado entre os documentos expostos um rascunho de livro chamado “HOOD NIGGA AFFIRMATIONS”, dizendo que o conteúdo era surpreendentemente positivo
    • Também foi lembrado que o Fiverr descontinuou o serviço and.co, que havia adquirido, reforçando avaliações de que se trata de uma “empresa estranha”

Avaliação geral

  • A política do Fiverr de usar URLs públicas levou à exposição em larga escala de dados sensíveis, incluindo informações fiscais, de saúde e de contas de clientes
  • O caso é visto como resultado combinado de falta de resposta a relatos de segurança, reação tardia e desconhecimento técnico
  • A comunidade interpreta o episódio como um caso que expõe a insensibilidade generalizada da indústria em relação à segurança, defendendo regulação mais forte e responsabilização

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.