I dati sensibili degli utenti collegati a Fiverr, un marketplace di servizi freelance, sono stati esposti online tramite link ai file accessibili pubblicamente, permettendo di scoprire i documenti tramite i motori di ricerca.
L’esposizione coinvolge file memorizzati su Cloudinary, un servizio di gestione media basato su cloud utilizzato per elaborare e ospitare i caricamenti degli utenti. Secondo un ricercatore di sicurezza citato nel reporting, la piattaforma era configurata in modo da permettere di indicizzare e accedere ai documenti senza autenticazione.
Il materiale trapelato include una serie di documenti inviati dagli utenti condivisi tramite il sistema di messaggistica di Fiverr. Questi fascicoli contengono fatture, contratti, moduli fiscali e documenti d’identità come patenti di guida. Alcuni documenti includono anche credenziali e altre informazioni sensibili legate agli account utente.
I file esposti potevano essere consultati direttamente tramite URL ed erano scoperti tramite ricerche standard su Google, indicando che i dati non erano adeguatamente limitati all’indicizzazione pubblica. Il problema è legato a come i contenuti caricati sono stati gestiti dal servizio esterno piuttosto che a una violazione diretta dei sistemi core di Fiverr.
Secondo il ricercatore, la vulnerabilità è stata comunicata all’azienda più di 40 giorni prima della pubblicazione del rapporto. La persona ha dichiarato che non era stata ricevuta alcuna risposta in quel periodo.
Il servizio Cloudinary è comunemente utilizzato per elaborare immagini, PDF e altri file condivisi tra utenti, inclusi documenti lavorativi scambiati tra freelance e clienti. In questo caso, quei file sembrano essere stati memorizzati in modo da consentire l’accesso illimitato se i collegamenti corretti erano noti o indicizzati.
Il dataset include sia informazioni personali che legate al lavoro. Documenti collegati a transazioni tra utenti, inclusi contratti e consegnali di lavoro, sono stati tra i materiali identificati. I file relativi all’identità suggeriscono che alcuni utenti potrebbero aver caricato documenti di verifica attraverso i canali di comunicazione della piattaforma.
L’intera portata dell’esposizione, inclusi il numero totale di utenti e file colpiti, non è stata resa pubblica. Non è nemmeno confermato per quanto tempo i dati siano rimasti accessibili prima di essere identificati.