Gevoelige gebruikersgegevens die gekoppeld zijn aan Fiverr, een marktplaats voor freelance diensten, zijn online blootgesteld via openbaar toegankelijke bestandslinks, waardoor documenten via zoekmachines kunnen worden gevonden.
De exposure betreft bestanden die zijn opgeslagen op Cloudinary, een cloudgebaseerde mediabeheerdienst die wordt gebruikt om gebruikersuploads te verwerken en te hosten. Volgens een beveiligingsonderzoeker die in de rapportage wordt geciteerd, was het platform zo geconfigureerd dat documenten konden worden geïndexeerd en toegankelijk zonder authenticatie.
Het gelekte materiaal bevat een reeks door gebruikers ingediende documenten die via het berichtensysteem van Fiverr zijn gedeeld. Deze bestanden bevatten facturen, contracten, belastingformulieren en identiteitsdocumenten zoals rijbewijzen. Sommige records bevatten ook inloggegevens en andere gevoelige informatie die aan gebruikersaccounts is gekoppeld.
De blootgestelde bestanden konden direct via URL’s worden benaderd en waren te vinden via standaard Google-zoekopdrachten, wat erop wijst dat de gegevens niet voldoende waren beperkt voor publieke indexering. Het probleem hangt samen met hoe geüploade content door de externe dienst werd afgehandeld en niet met een directe inbreuk op de kernsystemen van Fiverr.
Volgens de onderzoeker werd de kwetsbaarheid meer dan 40 dagen voor publicatie van het rapport aan het bedrijf bekendgemaakt. De persoon verklaarde dat er in die periode geen reactie was ontvangen.
De Cloudinary-dienst wordt vaak gebruikt om afbeeldingen, PDF’s en andere bestanden te verwerken die tussen gebruikers worden gedeeld, waaronder werkgerelateerde documenten die worden uitgewisseld tussen freelancers en klanten. In dit geval lijken die bestanden zo te zijn opgeslagen dat onbeperkte toegang mogelijk was als de juiste links bekend of geïndexeerd waren.
De dataset bevat zowel persoonlijke als zakelijke informatie. Documenten die gekoppeld waren aan transacties tussen gebruikers, waaronder contracten en werkleveringen, behoorden tot de geïdentificeerde materialen. Identiteitsgerelateerde bestanden suggereren dat sommige gebruikers mogelijk verificatiedocumenten via de communicatiekanalen van het platform hebben geüpload.
De volledige omvang van de blootstelling, inclusief het totale aantal getroffen gebruikers en bestanden, is niet bekendgemaakt. Het is ook niet bevestigd hoe lang de gegevens toegankelijk waren voordat ze werden geïdentificeerd.