Des données sensibles liées à Fiverr, un marché de services indépendants, ont été exposées en ligne via des liens de fichiers accessibles publiquement, permettant de découvrir des documents via les moteurs de recherche.
L’exposition concerne des fichiers stockés sur Cloudinary, un service de gestion multimédia basé sur le cloud utilisé pour traiter et héberger les téléchargements des utilisateurs. Selon un chercheur en sécurité cité dans un rapport, la plateforme était configurée de manière à permettre l’indexation et l’accès aux documents sans authentification.
Le matériel divulgué comprend une série de documents soumis par les utilisateurs partagés via le système de messagerie de Fiverr. Ces dossiers contiennent des factures, des contrats, des formulaires fiscaux et des documents d’identité tels que des permis de conduire. Certains dossiers incluent également des identifiants et d’autres informations sensibles liées aux comptes utilisateurs.
Les fichiers exposés pouvaient être accessibles directement via des URL et étaient découverts via des recherches Google standard, indiquant que les données n’étaient pas suffisamment restreintes pour l’indexation publique. Le problème est lié à la manière dont le contenu téléchargé a été géré par le service externe plutôt qu’à une violation directe des systèmes centraux de Fiverr.
Selon le chercheur, la vulnérabilité a été divulguée à l’entreprise plus de 40 jours avant la publication du rapport. La personne a déclaré qu’aucune réponse n’avait été reçue durant cette période.
Le service Cloudinary est couramment utilisé pour traiter des images, des PDF et d’autres fichiers partagés entre utilisateurs, y compris des documents liés au travail échangés entre freelances et clients. Dans ce cas, ces fichiers semblent avoir été stockés de manière à permettre un accès sans restriction si les liens corrects étaient connus ou indexés.
L’ensemble de données comprend à la fois des informations personnelles et professionnelles. Des documents liés aux transactions entre utilisateurs, y compris les contrats et les livrables de travail, faisaient partie des documents identifiés. Les fichiers liés à l’identité suggèrent que certains utilisateurs ont peut-être téléchargé des documents de vérification via les canaux de communication de la plateforme.
L’étendue complète de l’exposition, y compris le nombre total d’utilisateurs et de fichiers concernés, n’a pas été divulguée. Il n’est pas non plus confirmé combien de temps les données sont restées accessibles avant d’être identifiées.