Sensible Nutzerdaten, die mit Fiverr, einem Marktplatz für freiberufliche Dienste, verknüpft sind, wurden online über öffentlich zugängliche Dateilinks veröffentlicht, sodass Dokumente über Suchmaschinen gefunden werden können.
Die Exposition umfasst Dateien, die auf Cloudinary gespeichert sind, einem cloudbasierten Medienmanagement-Dienst, der zur Verarbeitung und Hostung von Nutzeruploads verwendet wird. Laut einem in der Berichterstattung zitierten Sicherheitsforscher war die Plattform so konfiguriert, dass Dokumente ohne Authentifizierung indexiert und abgerufen werden konnten.
Das geleakte Material enthält eine Reihe von von Nutzern eingereichten Dokumenten, die über das Messaging-System von Fiverr geteilt wurden. Diese Dateien enthalten Rechnungen, Verträge, Steuerformulare und Ausweisdokumente wie Führerscheine. Einige Datensätze enthalten auch Zugangsdaten und andere sensible Informationen, die mit Benutzerkonten verknüpft sind.
Die offengelegten Dateien konnten direkt über URLs abgerufen werden und waren über Standard-Google-Suchen auffindbar, was darauf hindeutet, dass die Daten nicht ausreichend von der öffentlichen Indexierung abgeschnitten waren. Das Problem hängt damit zusammen, wie hochgeladene Inhalte vom externen Dienst behandelt wurden, und nicht mit einem direkten Einbruch der Kernsysteme von Fiverr.
Laut dem Forscher wurde die Schwachstelle dem Unternehmen mehr als 40 Tage vor der Veröffentlichung des Berichts offengelegt. Die Person erklärte, dass in diesem Zeitraum keine Antwort eingegangen sei.
Der Cloudinary-Dienst wird häufig verwendet, um Bilder, PDFs und andere zwischen Nutzern geteilte Dateien zu verarbeiten, einschließlich arbeitsbezogener Dokumente, die zwischen Freiberuflern und Kunden ausgetauscht werden. In diesem Fall scheinen diese Dateien so gespeichert worden zu sein, dass uneingeschränkter Zugriff möglich war, wenn die richtigen Links bekannt oder indexiert waren.
Der Datensatz enthält sowohl persönliche als auch geschäftliche Informationen. Dokumente, die mit Transaktionen zwischen Nutzern verbunden sind, einschließlich Verträgen und Arbeitsergebnissen, gehörten zu den identifizierten Materialien. Identitätsbezogene Dateien deuten darauf hin, dass einige Nutzer Verifizierungsdokumente über die Kommunikationskanäle der Plattform hochgeladen haben könnten.
Das vollständige Ausmaß der Exposition, einschließlich der Gesamtzahl der betroffenen Nutzer und Dateien, wurde nicht offengelegt. Es ist auch nicht bestätigt, wie lange die Daten vor der Identifikation zugänglich blieben.