Fiverr a laissé des fichiers clients accessibles publiquement et indexables

 (news.ycombinator.com)
1 points par GN⁺ 15 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Fiverr a fourni, via Cloudinary, des fichiers PDF et images accessibles par URL publique sans URL signée, exposant des centaines de documents clients dans les résultats Google
  • Parmi les données exposées figuraient des informations sensibles comme des déclarations fiscales (Form 1040), des numéros de sécurité sociale (SSN), des jetons API et des documents de santé
  • Fiverr avait reçu le signalement 40 jours plus tôt sans y répondre, puis n’a commencé à réagir qu’en parlant d’un « deuxième signalement »
  • La communauté y voit un mélange d’ignorance technique et de faille structurelle de sécurité, critiquant l’absence de protection réelle malgré la certification ISO 27001
  • Cet incident est considéré comme un exemple révélateur du manque de culture sécurité et de l’évitement des responsabilités dans l’industrie

Cas d’exposition publique de fichiers clients chez Fiverr

  • Il est apparu que Fiverr, en traitant via Cloudinary les fichiers PDF et images échangés entre clients et prestataires, utilisait des URL publiques au lieu d’URL signées temporaires (expiring)
    • À l’instar d’Amazon S3, Cloudinary sert directement les ressources au client web et prend en charge les URL signées, mais Fiverr ne les utilisait pas
    • Certains fichiers étaient liés depuis des pages HTML publiques, ce qui a entraîné l’exposition de centaines d’entre eux dans les résultats de recherche Google
    • Parmi les exemples de recherche figurait site:fiverr-res.cloudinary.com form 1040, révélant de nombreux documents contenant des informations personnelles identifiables (PII)
    • Un signalement avait été envoyé il y a 40 jours à l’adresse sécurité (security@fiverr.com) sans réponse ; n’entrant pas dans le cadre CVE/CERT, l’affaire a ensuite été rendue publique

Principaux cas d’exposition et étendue des dommages

  • Exposition de déclarations fiscales et de documents sensibles

    • Via Google, des déclarations fiscales (Form 1040) et d’autres documents personnels restaient directement accessibles
    • Étaient également inclus des rapports internes d’organisations à but non lucratif, des documents liés aux soins d’enfants et des fichiers de demande de traduction, soit des données sensibles concernant des ONG et des publics vulnérables
    • Certains utilisateurs ont parlé d’un « effondrement de confiance au point de mettre en péril la survie même de l’activité »

  • Risques de non-conformité juridique et réglementaire

    • Fiverr achetait des annonces Google sur des mots-clés fiscaux comme « form 1234 filing », tout en ayant une sécurité insuffisante, ce qui pourrait constituer une violation de la GLBA/FTC Safeguards Rule
    • Certains commentaires ont évoqué la nécessité d’un signalement à la FTC

  • Types de données exposées

    • On y trouvait des numéros de sécurité sociale (SSN), des documents fiscaux, des jetons API, des rapports de test d’intrusion et des informations de comptes administrateur
    • Certains fichiers contenaient même des informations de santé
    • Des supports de cours PDF payants mis en ligne par des vendeurs Fiverr apparaissaient eux aussi gratuitement dans les résultats de recherche

Réactions de la communauté et discussions sur les suites

  • Critiques sur l’absence de réponse sécurité

    • De nombreux commentaires soulignaient que « même après 5 heures, rien n’avait été fait » et qu’il fallait « retirer manuellement au moins les fichiers sensibles »
    • Certains ont estimé qu’il ne s’agissait pas d’une simple négligence, mais d’un problème structurel dû à un manque de compréhension technique
    • La certification ISO 27001 de Fiverr et les certifications de sécurité AWS ont été mentionnées, mais les fichiers réellement téléversés étaient stockés sur Cloudinary

  • E-mail de réponse de Fiverr

    • Fiverr a répondu qu’il s’agissait du deuxième signalement reçu sur ce sujet et qu’il n’existait aucune trace du message envoyé 40 jours auparavant
    • Le lanceur d’alerte a publié ses preuves d’envoi et a rétorqué que la décision même de ne pas utiliser d’URL signées constituait un échec de sécurité
    • Plusieurs témoignages ont décrit un support client de Fiverr enfermé dans une boucle de tickets, empêchant toute réponse concrète

  • Références à des organismes externes et à la plateforme

    • Le fichier .well-known/security.txt de Fiverr mentionne un programme de bug bounty en partenariat avec BugCrowd, mais la réponse concrète est jugée insuffisante
    • Il a été discuté de savoir si le problème pouvait entrer dans le périmètre du bug bounty de Cloudinary, mais la structure du site client a été jugée comme empêchant toute correction immédiate de leur côté
    • Des traces de demandes DMCA liées à un problème similaire ont été retrouvées dans la base Lumen Database

Cause technique et problèmes structurels

  • Chemin d’indexation par Google

    • Google n’indexe pas des URL au hasard ; seuls les fichiers accessibles via des liens ou des sitemaps sont indexés
    • On suppose que Fiverr référençait les fichiers Cloudinary depuis des pages HTML publiques ou un sitemap
    • Certains utilisateurs ont proposé d’ajouter une configuration robots.txt ou un chemin nécessitant une authentification

  • Manque de culture sécurité

    • De nombreux commentaires ont souligné qu’il existe dans l’industrie beaucoup de développeurs qui ne maîtrisent même pas les concepts de base de la sécurité
    • Des exemples ont été cités de personnes ne connaissant même pas des notions comme l’accès direct aux objets (Direct Object Access), robots.txt ou sitemap
    • Le recours à des structures de développement reposant sur une main-d’œuvre sous-traitée à bas coût a également été mis en cause pour la dégradation de la qualité de sécurité

Autres discussions et climat général

  • Attente d’une couverture médiatique

    • Des médias tech comme Wired, Ars Technica ou 404 Media ont été cités comme devant enquêter sur l’affaire
    • Beaucoup ont estimé que « l’affaire était suffisamment grave pour mériter une couverture de presse »

  • Sarcasme et critiques

    • Des réactions moqueuses ont fleuri, du type « Fiverr a aussi confié sa sécurité à Fiverr ? » ou « il faut tout simplement brûler ça jusqu’au sol (Burn it to the ground) »
    • Certains y ont vu le résultat d’une approche AI-first ayant fait s’effondrer les processus internes

  • Autres exemples mentionnés

    • Un utilisateur a indiqué avoir trouvé parmi les documents exposés un brouillon de livre intitulé « HOOD NIGGA AFFIRMATIONS », qu’il a jugé étonnamment positif dans son contenu
    • D’autres ont rappelé l’arrêt du service and.co, acquis par Fiverr, pour qualifier l’entreprise de « société étrange »

Évaluation globale

  • En raison de sa politique d’utilisation d’URL publiques, Fiverr a exposé à grande échelle des données sensibles de clients, notamment fiscales, de santé et de comptes
  • L’affaire est perçue comme le résultat combiné de l’absence de réponse aux signalements, d’une réaction tardive et d’une ignorance technique
  • La communauté y voit un « incident révélateur de l’insensibilité générale de l’industrie aux enjeux de sécurité » et insiste sur la nécessité d’une réglementation plus ferme et d’une réelle reddition de comptes

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.