ハクソク

世界を動かす技術を、日本語で。

HNに知らせる: Fiverrが顧客ファイルを公開し、検索可能にしていた

2日前

概要

FiverrはCloudinaryを利用してPDFや画像を処理し、成果物をクライアントとワーカー間で共有。
Cloudinaryの署名付きURL機能を使わず、公開URLで機密ファイルを配信。
公開されたファイルがGoogle検索結果に多数表示され、個人情報漏洩リスク。
GLBAやFTC Safeguards Rule違反の可能性。
Fiverrへの責任ある開示後40日間、対応や返答なし。

FiverrにおけるCloudinary利用とセキュリティリスク

  • Fiverrは、Cloudinaryサービスを利用して、メッセージ内のPDFや画像を処理
  • 成果物ファイル(例:税務フォーム、契約書など)もCloudinary経由でクライアントに提供
  • Cloudinaryには署名付き/有効期限付きURL機能があるが、Fiverrは公開URLを選択
  • Amazon S3同様のアセット配信サービスとしてCloudinaryを利用
  • 公開URLのため、ファイルがインターネット上で自由にアクセス可能
  • Fiverrが公開HTMLページでこれらファイルへのリンクを配置している可能性

個人情報漏洩と検索エンジンへの露出

  • Google検索で「site:fiverr-res.cloudinary.com form 1040」などのクエリに多数ヒット
  • 数百件のファイルが検索結果に表示され、**PII(個人識別情報)**含むケース
  • 税務フォーム個人情報が第三者に閲覧されるリスク
  • Fiverrが「form 1234 filing」などのGoogle広告を出稿し、問題を認識しつつ集客
  • 結果としてGLBA(Gramm-Leach-Bliley Act)やFTC Safeguards Rule違反の可能性
    • 準拠すべき情報保護義務の不履行

責任ある開示とFiverrの対応

  • 責任ある開示として、security@fiverr.comに40日前に通知
  • Fiverrセキュリティチームから返答なし
  • この問題はCVE/CERTの対象外(コード脆弱性でないため)
  • 他に適切な報告先がないため、公開による注意喚起を選択

まとめ

  • FiverrのCloudinary公開URL運用は、機密ファイルの漏洩リスクを重大化
  • 検索エンジン経由個人情報が簡単にアクセス可能
  • 法令違反の可能性や、利用者・事業者双方の信頼失墜
  • 早急な運用改善ユーザーへの説明責任が必要

Hackerたちの意見

正しい報告手順に従ったね。https://www.fiverr.com/.well-known/security.txt には「Contact: security@fiverr.com」しか書いてないし、ヘルプページには「FiverrはBugCrowdと協力してバグバウンティプログラムを運営しています。脆弱性を発見した場合は、security@fiverr.comに連絡して、プログラムへの参加方法についての情報を受け取ってください。」って書いてあるよ。
これがもっと話題にならないのが驚きだね。1040フォームの漏洩はひどいし、Googleにインデックスされるなんて最悪だよ…
おそらく範囲外かもしれないけど、https://bugcrowd.com/engagements/cloudinary が気にするかも?これはまずいね。
すぐには対応しないだろうね。クライアントのサイトを壊さずに署名を有効にする方法がないから。そうしないでできるクリーンアップは、Googleにそのサブドメインを削除させることくらいかな?(Fiverr自体はBugcrowdを使ってるけど、プライベートだから、私がやったみたいにまずSOCにメールしないといけない。)
結果には本当にひどいものが含まれてる。APIトークン、ペネトレーションテストのレポート、機密PDF、内部APIが簡単に見つかる。Fiverrはこれが解決するまで、すぐにすべての静的資産へのアクセスをブロックするべきだよ。ビジネスの継続性なんてここでは問題じゃないはず。
変更されたことがないと思われる管理者の資格情報もたくさんあるね。
すごいね。そこには何千ものSSNがあるよ。それに、Fiverrの人たちがデジタル商品を売ってるけど、彼らのPDFコースが検索結果で無料で返されてるのも多いね。
早くパッチが当たるといいね。彼らのrobotsファイルには、検索エンジンのクロールを禁止するコードがコメントアウトされてるよ - https://fiverr-res.cloudinary.com/robots.txt。--- robots.txtファイルの使い方については、http://www.robotstxt.org/wc/norobots.html を見てね。# # サイト全体からすべてのスパイダーを禁止するには、次の2行のコメントを外してね:# User-Agent: * # Disallow: /
ソフトウェア開発の仕事って、アクセスしやすすぎるよね。何百万もの人のデータにアクセスしたり、コントロールしたりする仕事には、ちゃんとしたソフトウェアエンジニアの資格が必要だと思うし、セキュリティレポートを完全に無視するなんてことがあれば、ビジネスが崩壊するような罰金が必要だよ。毎週、ほぼ毎日のようにこういう漏洩が普通になってるのが馬鹿げてる。
それが一因かもしれないけど、上場企業として、少なくとも何人かは立派な経歴の人がいるはずだよね(それが実際に仕事ができるかどうかは別として)。でも、もしそんなテストがあったら、彼らは通過してるだろうね。あと、ISO 27001の認証も持ってるし、セキュリティページではAWSの認証を代理で主張してるけど、皮肉なことに、彼らはAWSがほとんどのデータを保存してるって言いながら、実際にはすべてのアップロードがここにあるらしい。
少なくとも、LLMツールが本番環境にコードをデプロイすることで、こういうことがもっと頻繁に起こることはないと思う。「ちゃんとセキュアにしてね。間違いは許されないよ。」
教師はライセンスを持たなきゃいけないし、ライセンスの更新も必要だよね。配管工や電気工、弁護士、医者もそう。俺だって自分のビジネスを運営するためにはライセンスが必要なんだから、敏感なデータを扱うならソフトウェアにもライセンスの分野があってもいいんじゃない?
数ヶ月前にこれに関するDMCAの苦情が送られたみたいだね: https://lumendatabase.org/notices/53130362
security@fiverr.comにメールしたら、こんな返信が来たよ。「この問題を報告してくれたのは二人目の方です。私たちの記録によると、約40日前にFiverrのセキュリティに関して連絡があったということはありません。現在、この状況を解決するために取り組んでいます。」
じゃあ、嘘をつくインセンティブがあるのは、fiverrなのかOPなのか?
彼らはセキュリティのためにFiverrを使ったのかな。