ハクソク

世界を動かす技術を、日本語で。

HNに知らせる: Fiverrが顧客ファイルを公開し、検索可能にしていた

49日前

概要

FiverrはCloudinaryを利用してPDFや画像を処理し、成果物をクライアントとワーカー間で共有。 Cloudinaryの署名付きURL機能を使わず、公開URLで機密ファイルを配信。 公開されたファイルがGoogle検索結果に多数表示され、個人情報漏洩リスク。 GLBAやFTC Safeguards Rule違反の可能性。 Fiverrへの責任ある開示後40日間、対応や返答なし。

FiverrにおけるCloudinary利用とセキュリティリスク

  • Fiverr は、 Cloudinary サービスを利用して、メッセージ内のPDFや画像を処理
  • 成果物ファイル (例:税務フォーム、契約書など)もCloudinary経由でクライアントに提供
  • Cloudinaryには 署名付き/有効期限付きURL 機能があるが、Fiverrは 公開URL を選択
  • Amazon S3 同様のアセット配信サービスとしてCloudinaryを利用
  • 公開URL のため、ファイルが インターネット上で自由にアクセス可能
  • Fiverrが 公開HTMLページ でこれらファイルへのリンクを配置している可能性

個人情報漏洩と検索エンジンへの露出

  • Google検索 で「site:fiverr-res.cloudinary.com form 1040」などのクエリに多数ヒット
  • 数百件 のファイルが検索結果に表示され、 PII(個人識別情報) 含むケース
  • 税務フォーム個人情報 が第三者に閲覧されるリスク
  • Fiverrが「form 1234 filing」などの Google広告 を出稿し、問題を認識しつつ集客
  • 結果として GLBA (Gramm-Leach-Bliley Act)や FTC Safeguards Rule 違反の可能性
    • 準拠すべき情報保護義務の不履行

責任ある開示とFiverrの対応

  • 責任ある開示 として、 security@fiverr.com に40日前に通知
  • Fiverrセキュリティチーム から 返答なし
  • この問題は CVE/CERT の対象外(コード脆弱性でないため)
  • 他に適切な報告先がないため、 公開による注意喚起 を選択

まとめ

  • Fiverrの Cloudinary公開URL運用 は、 機密ファイルの漏洩リスク を重大化
  • 検索エンジン経由個人情報 が簡単にアクセス可能
  • 法令違反の可能性や、 利用者・事業者双方の信頼失墜
  • 早急な運用改善ユーザーへの説明責任 が必要

Hackerたちの意見

正しい報告手順に従ったね。https://www.fiverr.com/.well-known/security.txt には「Contact: security@fiverr.com」しか書いてないし、ヘルプページには「FiverrはBugCrowdと協力してバグバウンティプログラムを運営しています。脆弱性を発見した場合は、security@fiverr.comに連絡して、プログラムへの参加方法についての情報を受け取ってください。」って書いてあるよ。

これがもっと話題にならないのが驚きだね。1040フォームの漏洩はひどいし、Googleにインデックスされるなんて最悪だよ…

おそらく範囲外かもしれないけど、https://bugcrowd.com/engagements/cloudinary が気にするかも?これはまずいね。

すぐには対応しないだろうね。クライアントのサイトを壊さずに署名を有効にする方法がないから。そうしないでできるクリーンアップは、Googleにそのサブドメインを削除させることくらいかな?(Fiverr自体はBugcrowdを使ってるけど、プライベートだから、私がやったみたいにまずSOCにメールしないといけない。)

結果には本当にひどいものが含まれてる。APIトークン、ペネトレーションテストのレポート、機密PDF、内部APIが簡単に見つかる。Fiverrはこれが解決するまで、すぐにすべての静的資産へのアクセスをブロックするべきだよ。ビジネスの継続性なんてここでは問題じゃないはず。

変更されたことがないと思われる管理者の資格情報もたくさんあるね。

すごいね。そこには何千ものSSNがあるよ。それに、Fiverrの人たちがデジタル商品を売ってるけど、彼らのPDFコースが検索結果で無料で返されてるのも多いね。

早くパッチが当たるといいね。彼らのrobotsファイルには、検索エンジンのクロールを禁止するコードがコメントアウトされてるよ - https://fiverr-res.cloudinary.com/robots.txt。--- robots.txtファイルの使い方については、http://www.robotstxt.org/wc/norobots.html を見てね。# # サイト全体からすべてのスパイダーを禁止するには、次の2行のコメントを外してね:# User-Agent: * # Disallow: /

ソフトウェア開発の仕事って、アクセスしやすすぎるよね。何百万もの人のデータにアクセスしたり、コントロールしたりする仕事には、ちゃんとしたソフトウェアエンジニアの資格が必要だと思うし、セキュリティレポートを完全に無視するなんてことがあれば、ビジネスが崩壊するような罰金が必要だよ。毎週、ほぼ毎日のようにこういう漏洩が普通になってるのが馬鹿げてる。

それが一因かもしれないけど、上場企業として、少なくとも何人かは立派な経歴の人がいるはずだよね(それが実際に仕事ができるかどうかは別として)。でも、もしそんなテストがあったら、彼らは通過してるだろうね。あと、ISO 27001の認証も持ってるし、セキュリティページではAWSの認証を代理で主張してるけど、皮肉なことに、彼らはAWSがほとんどのデータを保存してるって言いながら、実際にはすべてのアップロードがここにあるらしい。

少なくとも、LLMツールが本番環境にコードをデプロイすることで、こういうことがもっと頻繁に起こることはないと思う。「ちゃんとセキュアにしてね。間違いは許されないよ。」

教師はライセンスを持たなきゃいけないし、ライセンスの更新も必要だよね。配管工や電気工、弁護士、医者もそう。俺だって自分のビジネスを運営するためにはライセンスが必要なんだから、敏感なデータを扱うならソフトウェアにもライセンスの分野があってもいいんじゃない?

数ヶ月前にこれに関するDMCAの苦情が送られたみたいだね: https://lumendatabase.org/notices/53130362

security@fiverr.comにメールしたら、こんな返信が来たよ。「この問題を報告してくれたのは二人目の方です。私たちの記録によると、約40日前にFiverrのセキュリティに関して連絡があったということはありません。現在、この状況を解決するために取り組んでいます。」

じゃあ、嘘をつくインセンティブがあるのは、fiverrなのかOPなのか?

彼らはセキュリティのためにFiverrを使ったのかな。