Fiverr adlı serbest hizmet pazarına bağlı hassas kullanıcı verileri, kamuya açık dosya bağlantıları aracılığıyla çevrimiçi olarak ortaya çıkarıldı ve bu sayede arama motorları aracılığıyla belgeler bulunabildi.
Bu girişim, kullanıcı yüklemelerini işlemek ve barındırmak için kullanılan bulut tabanlı medya yönetim hizmeti Cloudinary’de depolanan dosyaları içeriyor. Raporda aktarılan bir güvenlik araştırmacısına göre, platform belgelerin kimlik doğrulaması olmadan indekslenip erişilebilmesini sağlayacak şekilde yapılandırılmıştı.
Sızdırılan materyal, Fiverr’ın mesajlaşma sistemi aracılığıyla paylaşılan kullanıcı tarafından gönderilen çeşitli belgeleri içeriyor. Bu dosyaların faturalar, sözleşmeler, vergi formları ve ehliyet gibi kimlik belgeleri içerdiği bildirilir. Bazı kayıtlar ayrıca kullanıcı hesaplarına bağlı kimlik bilgileri ve diğer hassas bilgileri de içerir.
Açığa çıkan dosyalara doğrudan URL’ler üzerinden erişilebiliyor ve standart Google aramalarıyla keşfedilebiliyordu; bu da verilerin kamuya açık indekslemeden yeterince kısıtlanmadığını gösteriyordu. Sorun, yüklenen içeriğin dış hizmet tarafından nasıl yönetildiğiyle bağlantılı, Fiverr’ın temel sistemlerine doğrudan ihlali değil.
Araştırmacıya göre, bu güvenlik açıklığı raporun yayınlanmasından 40 günden fazla bir süre önce şirkete bildirildi. Kişi, bu süre zarfında herhangi bir yanıt alınmadığını belirtti.
Cloudinary hizmeti, serbest çalışanlar ile müşteriler arasında değiş tokuş edilen iş ile ilgili belgeler de dahil olmak üzere kullanıcılar arasında paylaşılan görseller, PDF’ler ve diğer dosyaları işlemek için yaygın olarak kullanılır. Bu durumda, bu dosyalar, doğru bağlantılar biliniyorsa veya indekslenmişse sınırsız erişime izin veren şekilde saklanmış gibi görünüyor.
Veri seti hem kişisel hem de iş ile ilgili bilgileri içerir. Kullanıcılar arasındaki işlemlerle bağlantılı belgeler, sözleşmeler ve iş teslimatları dahil olmak üzere, tespit edilen materyaller arasında yer aldı. Kimlikle ilgili dosyalar, bazı kullanıcıların platformun iletişim kanalları üzerinden doğrulama belgeleri yüklemiş olabileceğini gösteriyor.
Etkilenen kullanıcı ve dosyaların toplam sayısı dahil olmak üzere bu durumun tam kapsamı açıklanmadı. Verilerin tanımlanmadan önce ne kadar süre erişilebilir kaldığı da doğrulanmadı.