Dados sensíveis de usuários vinculados ao Fiverr, um mercado de serviços freelancers, foram expostos online por meio de links de arquivos acessíveis publicamente, permitindo que documentos sejam descobertos por mecanismos de busca.
A exposição envolve arquivos armazenados no Cloudinary, um serviço de gerenciamento de mídia baseado em nuvem usado para processar e hospedar uploads de usuários. De acordo com um pesquisador de segurança citado em relatórios, a plataforma foi configurada de forma a permitir que documentos fossem indexados e acessados sem autenticação.
O material vazado inclui uma variedade de documentos enviados pelos usuários compartilhados pelo sistema de mensagens do Fiverr. Esses arquivos contêm faturas, contratos, formulários fiscais e documentos de identidade, como carteiras de motorista. Alguns registros também incluem credenciais e outras informações sensíveis ligadas a contas de usuário.
Os arquivos expostos podiam ser acessados diretamente por URLs e eram descobertos por meio de buscas padrão no Google, indicando que os dados não estavam adequadamente restringidos à indexação pública. O problema está ligado a como o conteúdo enviado foi tratado pelo serviço externo, e não a uma violação direta dos sistemas centrais do Fiverr.
Segundo o pesquisador, a vulnerabilidade foi divulgada à empresa mais de 40 dias antes da publicação do relatório. O indivíduo afirmou que nenhuma resposta havia sido recebida durante esse período.
O serviço Cloudinary é comumente usado para processar imagens, PDFs e outros arquivos compartilhados entre usuários, incluindo documentos relacionados ao trabalho trocados entre freelancers e clientes. Neste caso, esses arquivos parecem ter sido armazenados de forma a permitir acesso irrestrito se os links corretos fossem conhecidos ou indexados.
O conjunto de dados inclui informações tanto pessoais quanto relacionadas a negócios. Documentos vinculados a transações entre usuários, incluindo contratos e entregues de trabalho, estavam entre os materiais identificados. Arquivos relacionados à identidade sugerem que alguns usuários podem ter enviado documentos de verificação pelos canais de comunicação da plataforma.
A extensão completa da exposição, incluindo o número total de usuários e arquivos afetados, não foi divulgada. Também não está confirmado por quanto tempo os dados permaneceram acessíveis antes de serem identificados.