Fiverr dejó archivos de clientes en estado público y podían encontrarse en búsquedas

 (news.ycombinator.com)
1 puntos por GN⁺ 14 일 전 | Aún no hay comentarios. | Compartir por WhatsApp
  • Fiverr entregó archivos PDF e imágenes compartidos a través de Cloudinary mediante URLs públicas, sin URLs firmadas, lo que expuso cientos de documentos de clientes en búsquedas de Google
  • Entre los materiales expuestos había información sensible como declaraciones de impuestos (Form 1040), números de Seguro Social (SSN), tokens de API y documentos relacionados con la salud
  • Fiverr recibió el reporte 40 días antes pero no respondió, y solo después comenzó a actuar alegando que era un “segundo reporte”
  • La comunidad lo ve como un caso de desconocimiento técnico y fallas estructurales de seguridad, y critica que, pese a la certificación ISO 27001, no existía una protección real
  • El incidente se considera un ejemplo de la falta de conciencia de seguridad y la evasión de responsabilidades en toda la industria

Caso de exposición pública de archivos de clientes de Fiverr

  • Se reveló que Fiverr, al procesar archivos PDF e imágenes intercambiados entre clientes y freelancers mediante Cloudinary, usó URLs públicas en lugar de URLs firmadas (con expiración)
    • Cloudinary entrega activos directamente al cliente web, como Amazon S3, y admite URLs firmadas, pero Fiverr no las utilizó
    • Algunos archivos estaban enlazados desde páginas HTML públicas, por lo que cientos de ellos quedaron expuestos en resultados de Google
    • Entre los ejemplos de búsqueda estaban site:fiverr-res.cloudinary.com form 1040, y se confirmó que muchos documentos contenían información personal identificable (PII)
    • Se reportó al correo del equipo de seguridad (security@fiverr.com) hace 40 días, sin respuesta, y al no tratarse de un caso para CVE/CERT, se optó por hacerlo público

Principales casos expuestos y alcance del daño

  • Exposición de declaraciones de impuestos y documentos sensibles

    • A través de Google se podía acceder directamente a documentos personales, incluidas declaraciones de impuestos (Form 1040)
    • También se incluían datos sensibles de organizaciones sin fines de lucro y de personas vulnerables, como reportes internos, documentos relacionados con terapia infantil y materiales enviados para traducción
    • Algunos usuarios lo describieron como una “pérdida de confianza capaz de volver inviable la continuidad del negocio

  • Posibles violaciones legales y regulatorias

    • Aunque Fiverr compró anuncios de Google con palabras clave fiscales como “form 1234 filing”, su seguridad era deficiente, por lo que podría haber una posible infracción de la GLBA/FTC Safeguards Rule
    • En algunos comentarios se mencionó la necesidad de reportarlo ante la FTC

  • Tipos de datos expuestos

    • Se incluían números de Seguro Social (SSN), documentos fiscales, tokens de API, informes de pruebas de penetración e información de cuentas administrativas
    • Algunos archivos incluso contenían información relacionada con la salud
    • También quedaron expuestos en resultados de búsqueda materiales PDF de cursos de pago subidos por vendedores de Fiverr

Reacción de la comunidad y debate sobre medidas posteriores

  • Críticas a la falta de respuesta de seguridad

    • Hubo muchas críticas del tipo: “han pasado 5 horas y no han hecho nada” o “aunque sea deberían bajar manualmente los archivos sensibles”
    • Algunos lo calificaron no como “simple descuido”, sino como un problema estructural causado por falta de comprensión técnica
    • Se mencionan la certificación ISO 27001 de Fiverr y certificaciones de seguridad de AWS, pero los archivos subidos en realidad estaban almacenados en Cloudinary

  • Correo de respuesta de Fiverr

    • Fiverr respondió que “era la segunda vez” que recibían ese reporte y que no había registro del aviso enviado 40 días antes
    • Quien reportó publicó su historial de envío y replicó que “la decisión misma de no usar URLs firmadas ya constituye una falla de seguridad
    • También abundan testimonios de que el sistema de soporte de Fiverr queda atrapado en un bucle de tickets y no permite una respuesta real

  • Menciones a entidades externas y plataformas

    • En .well-known/security.txt de Fiverr aparece un programa de bug bounty en colaboración con BugCrowd, pero se criticó la falta de respuesta real
    • Se discutió si podía entrar dentro del alcance del bug bounty de Cloudinary, aunque se consideró que por la estructura del sitio cliente no era posible una acción inmediata
    • En la base de datos Lumen se encontraron registros previos de solicitudes DMCA relacionadas con el mismo problema

Causa técnica y problemas estructurales

  • Ruta de indexación en Google

    • Google no indexa URLs al azar; solo indexa archivos accesibles mediante enlaces o sitemaps
    • Se presume que Fiverr referenció archivos de Cloudinary desde páginas HTML públicas o sitemaps
    • Algunos usuarios sugirieron añadir configuración en robots.txt o rutas con autenticación

  • Falta de conciencia de seguridad

    • Muchos comentarios señalan un problema más amplio en la industria: hay desarrolladores que ni siquiera conocen los conceptos básicos de seguridad
    • Se mencionan casos de desconocimiento de conceptos como “Direct Object Access”, robots.txt o sitemap
    • También se criticó que una estructura de desarrollo apoyada en mano de obra tercerizada y barata termina deteriorando la calidad de la seguridad

Otras discusiones y opinión pública

  • Expectativa de cobertura periodística

    • Se mencionó la necesidad de que medios tecnológicos como Wired, Ars Technica y 404 Media investiguen el caso
    • Muchos opinaron que “esto ya tiene nivel suficiente para que lo cubra la prensa”

  • Sátira y críticas

    • Hubo reacciones burlonas como “¿Fiverr también subcontrató la seguridad en Fiverr?” o “esto simplemente hay que quemarlo todo (Burn it to the ground)”
    • Algunos también criticaron que era el resultado de un enfoque “AI-first” que habría colapsado los procesos internos

  • Otros casos mencionados

    • Un usuario comentó que entre los documentos expuestos encontró un borrador de libro titulado “HOOD NIGGA AFFIRMATIONS” y dijo que su contenido era inesperadamente positivo
    • También se mencionó que Fiverr cerró el servicio and.co, que había adquirido antes, y algunos lo calificaron como una “empresa extraña”

Evaluación general

  • La política de uso de URLs públicas de Fiverr provocó una exposición masiva de datos sensibles de clientes, incluidos datos fiscales, de salud y de cuentas
  • Se considera un caso en el que se combinaron falta de respuesta a reportes de seguridad, reacción tardía e ignorancia técnica
  • La comunidad lo ve como un incidente que deja en evidencia la insensibilidad de toda la industria frente a la seguridad y subraya la necesidad de una regulación fuerte y de exigir responsabilidades

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.