Datos sensibles de usuarios vinculados a Fiverr, un mercado de servicios freelance, han sido expuestos en línea a través de enlaces de archivos accesibles públicamente, permitiendo que documentos sean descubiertos mediante motores de búsqueda.
La exposición implica archivos almacenados en Cloudinary, un servicio de gestión multimedia basado en la nube utilizado para procesar y alojar las subidas de los usuarios. Según un investigador de seguridad citado en el informe, la plataforma estaba configurada de tal manera que permitía indexar y acceder a documentos sin autenticación.
El material filtrado incluye una variedad de documentos enviados por usuarios compartidos a través del sistema de mensajería de Fiverr. Estos archivos contienen facturas, contratos, formularios fiscales y documentos de identidad como carnés de conducir. Algunos registros también incluyen credenciales y otra información sensible vinculada a cuentas de usuario.
Los archivos expuestos podían accederse directamente a través de URLs y eran descubribles mediante búsquedas estándar en Google, lo que indica que los datos no estaban adecuadamente restringidos para la indexación pública. El problema está relacionado con cómo se gestionaba el contenido subido por parte del servicio externo, más que con una brecha directa de los sistemas centrales de Fiverr.
Según el investigador, la vulnerabilidad se reveló a la empresa más de 40 días antes de la publicación del informe. La persona declaró que no se había recibido respuesta durante ese periodo.
El servicio Cloudinary se utiliza comúnmente para procesar imágenes, PDFs y otros archivos compartidos entre usuarios, incluidos documentos relacionados con el trabajo intercambiados entre freelancers y clientes. En este caso, esos archivos parecen haberse almacenado de manera que permitía el acceso sin restricciones si se conocían o indexaban los enlaces correctos.
El conjunto de datos incluye información tanto personal como relacionada con el ámbito empresarial. Entre los materiales identificados se encontraron documentos vinculados a transacciones entre usuarios, incluidos contratos y entregables de trabajo. Los archivos relacionados con la identidad sugieren que algunos usuarios pueden haber subido documentos de verificación a través de los canales de comunicación de la plataforma.
No se ha revelado el alcance completo de la exposición, incluido el número total de usuarios y archivos afectados. Tampoco está confirmado cuánto tiempo permanecieron accesibles los datos antes de ser identificados.