Fiverr ließ Kundendateien öffentlich zugänglich und durchsuchbar

 (news.ycombinator.com)
1 Punkte von GN⁺ 15 일 전 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Fiverr stellte PDF- und Bilddateien, die über Cloudinary ausgetauscht wurden, über öffentliche URLs statt signierter URLs bereit, wodurch Hunderte Kundendokumente in der Google-Suche sichtbar wurden
  • Zu den offengelegten Materialien gehörten sensible Informationen wie Steuererklärungen (Form 1040), Sozialversicherungsnummern (SSN), API-Tokens und gesundheitsbezogene Dokumente
  • Obwohl Fiverr den Hinweis bereits 40 Tage zuvor erhalten hatte, gab es zunächst keine Reaktion; erst später begann das Unternehmen mit Verweis auf einen „zweiten Hinweis“ zu reagieren
  • Die Community sieht darin technische Unkenntnis und einen strukturellen Sicherheitsmangel und kritisiert, dass trotz ISO-27001-Zertifizierung ein wirksamer Schutz fehlte
  • Der Vorfall wird als Beispiel dafür gewertet, wie mangelndes Sicherheitsbewusstsein und Verantwortungsvermeidung in der Branche insgesamt aussehen

Fall öffentlich offengelegter Fiverr-Kundendateien

  • Es wurde bekannt, dass Fiverr bei der Verarbeitung von PDF- und Bilddateien, die zwischen Kunden und Auftragnehmern über Cloudinary ausgetauscht werden, öffentliche URLs statt signierter (ablaufender) URLs verwendete
    • Cloudinary liefert wie Amazon S3 Assets direkt an Web-Clients aus und unterstützt signierte URLs, doch Fiverr nutzte diese Funktion nicht
    • Einige Dateien waren von öffentlichen HTML-Seiten aus verlinkt, sodass Hunderte davon in den Google-Suchergebnissen auftauchten
    • Beispiele für Suchanfragen waren site:fiverr-res.cloudinary.com form 1040; dabei wurden zahlreiche Dokumente mit personenbezogenen Daten (PII) gefunden
    • An die Sicherheitsadresse (security@fiverr.com) wurde vor 40 Tagen ein Hinweis geschickt, jedoch ohne Reaktion; da keine CVE-/CERT-Bearbeitung in Frage kam, wurde der Fall öffentlich gemacht

Zentrale Beispiele für Offenlegung und Schadensumfang

  • Offenlegung von Steuererklärungen und sensiblen Dokumenten

    • Über Google waren persönliche Dokumente einschließlich Steuererklärungen (Form 1040) direkt zugänglich
    • Ebenfalls enthalten waren sensible Daten von gemeinnützigen Organisationen und sozial besonders verletzlichen Gruppen, darunter interne Berichte von Non-Profits, Dokumente zu Kindertherapien und Unterlagen aus Übersetzungsaufträgen
    • Einige Nutzer beschrieben dies als einen „Vertrauensverlust, der die Fortführung des Geschäfts unmöglich machen kann

  • Mögliches rechtliches und regulatorisches Fehlverhalten

    • Fiverr kaufte offenbar Google-Anzeigen für steuerbezogene Keywords wie „form 1234 filing“, während die Sicherheitsvorkehrungen mangelhaft waren; dadurch könnte ein Verstoß gegen die GLBA/FTC Safeguards Rule vorliegen
    • In einigen Kommentaren wurde erwähnt, man müsse den Fall der FTC melden

  • Arten der offengelegten Daten

    • Dazu gehörten Sozialversicherungsnummern (SSN), Steuerunterlagen, API-Tokens, Berichte zu Penetrationstests und Informationen zu Administratorkonten
    • Manche Dateien enthielten sogar gesundheitsbezogene Informationen
    • Auch von Fiverr-Verkäufern hochgeladene kostenpflichtige PDF-Lehrmaterialien erschienen kostenlos in den Suchergebnissen

Reaktionen der Community und Diskussion über weitere Schritte

  • Kritik am fehlenden Sicherheitsvorfall-Management

    • Viele wiesen darauf hin: „Auch nach 5 Stunden passiert nichts“ und „Selbst manuell müssten sensible Dateien sofort entfernt werden“
    • Einige bewerteten dies als strukturelles Problem durch mangelndes technisches Verständnis, nicht bloß als einfache Nachlässigkeit
    • Zwar wurden Fiverrs ISO-27001-Zertifizierung und AWS-Sicherheitszertifizierungen erwähnt, doch die tatsächlich hochgeladenen Dateien liegen bei Cloudinary

  • Antwort-E-Mail von Fiverr

    • Fiverr antwortete, dies sei der „zweite Hinweis“ zu dem Thema gewesen und es gebe keinen Nachweis über einen vor 40 Tagen eingegangenen Bericht
    • Der Hinweisgeber veröffentlichte Versandnachweise und entgegnete, die Entscheidung gegen signierte URLs sei an sich bereits ein Sicherheitsversagen
    • Zudem berichteten mehrere Personen, dass Fiverrs Kundensupport in Ticket-Schleifen festhängt und echte Reaktionen praktisch unmöglich macht

  • Erwähnungen externer Stellen und Plattformen

    • In Fiverrs .well-known/security.txt wird auf ein Bug-Bounty-Programm in Zusammenarbeit mit BugCrowd verwiesen, doch die tatsächliche Reaktion blieb unzureichend
    • Es wurde diskutiert, ob der Fall in den Bug-Bounty-Umfang von Cloudinary fallen könnte, jedoch wurde dies wegen der Struktur der Client-Seite als nicht kurzfristig lösbar eingeschätzt
    • In der Lumen Database fanden sich Einträge, dass in der Vergangenheit wegen desselben Problems bereits DMCA-Anfragen gestellt worden waren

Technische Ursache und strukturelle Probleme

  • Weg der Google-Indexierung

    • Google indexiert URLs nicht zufällig, sondern nur Dateien, die über Links oder Sitemaps erreichbar sind
    • Es wird vermutet, dass Fiverr Cloudinary-Dateien von öffentlichen HTML-Seiten oder in Sitemaps referenzierte
    • Einige Nutzer schlugen vor, robots.txt-Einstellungen oder Authentifizierungswege hinzuzufügen

  • Mangelndes Sicherheitsbewusstsein

    • In vielen Kommentaren wurde als branchenweites Problem angesprochen, dass es zahlreiche Entwickler gibt, die grundlegende Sicherheitskonzepte nicht kennen
    • Genannt wurden Fälle, in denen selbst Konzepte wie Direct Object Access, robots.txt oder Sitemap unbekannt seien
    • Zudem wurde kritisiert, dass eine auf billige externe Dienstleister ausgerichtete Entwicklungsstruktur zu sinkender Sicherheitsqualität führe

Sonstige Diskussionen und Stimmungslage

  • Erwartung von Medienberichterstattung

    • Es wurde erwähnt, dass Technikmedien wie Wired, Ars Technica und 404 Media den Fall aufgreifen sollten
    • Viele meinten, „das sei eindeutig ein Fall für die Presse“

  • Spott und Kritik

    • Kommentare wie „Hat Fiverr die Sicherheit auch auf Fiverr vergeben?“ und „Das muss man einfach niederbrennen“ zeigten spöttische Reaktionen
    • Einige sahen darin das Ergebnis eines „AI-first“-Ansatzes, durch den interne Prozesse zusammengebrochen seien

  • Weitere Beispiele

    • Ein Nutzer berichtete, unter den offengelegten Dokumenten einen Buchentwurf mit dem Titel „HOOD NIGGA AFFIRMATIONS“ gefunden zu haben, und meinte, der Inhalt sei überraschend positiv
    • Unter Verweis darauf, dass Fiverr den übernommenen Dienst and.co eingestellt hatte, bezeichneten manche das Unternehmen als „seltsam“

Gesamtbewertung

  • Durch Fiverrs Politik öffentlicher URLs wurden sensible Kundendaten in großem Umfang offengelegt, darunter Steuer-, Gesundheits- und Kontoinformationen
  • Der Vorfall gilt als Fall, in dem fehlende Reaktion auf Sicherheitsmeldungen, verzögerte Maßnahmen und technische Unkenntnis zusammenwirkten
  • Die Community betrachtet dies als einen „Vorfall, der die branchenweite Abstumpfung gegenüber Sicherheit offenlegt“ und fordert strengere Regulierung sowie klare Verantwortlichkeit

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.