零工/兼职任务平台Fiverr泄露用户文件且不修复 大量文件暴露在公网
在零工和兼职领域颇为知名的任务平台 Fiverr 日前被安全研究员爆出泄露用户数据且拒不修复,现在安全研究员直接将这个问题公开发出来,蓝点网检查后确实发现 Fiverr 大量 PDF 任务文件被谷歌搜索抓取。
让人比较疑惑的是这些文件确实都包含隐私信息,包括任务发布者 (客户) 和接单者共享的文件都可能泄露,实际泄露的文件主要是接单者向客户提供的工作成果 PDF 文件,所以里面可能也包含客户信息。
问题发生原因:
该平台使用名为 Cloudinary 的服务来处理消息中的 PDF 文件和图像,例如接单者需要将工作成果以截图或 PDF 形式发送给客户验收,所以 Fiverr 需要存储这些文件并生成链接。
在 Fiverr 中,Cloudinary 扮演着类似对象存储的角色,该服务本身支持 URL 签名和过期时间,不过在实际部署中 Fiverr 选择公共 URL,所以 URL 既不会过期也不需要签名,任何拿到链接的人都可以直接查看文件。
不知道出于什么原因,Fiverr 似乎在某个地方提供指向这些文件的 URL,这导致谷歌搜索爬虫已经抓取超过 3 万个 URL,这些 URL 中大部分都是 PDF 文件。
报告漏洞但没有回应:
安全研究员发现这个问题后已经通过 Fiverr 指定的漏洞反馈邮箱提交该漏洞,严格来说这不是漏洞而是信息泄露,不过邮件发送超过 40 天也没有获得任何回复,而且这个信息泄露问题也没有修复。
由于这个问题不符合 CVE/CERT 处理流程,所以安全研究员也没有为此申请 CVE 漏洞编号,所以最终结果就是发帖直接公开这个问题,现在任何人都可以直接获取泄露的文件。
获取文件也非常简单,只需要使用 site:fiverr-res.cloudinary.com 即可在谷歌搜索中查到这些文件,蓝点网还看到不少包含美国纳税信息的表单,泄露的信息非常多。
更新:这个帖子终于被 Fiverr 注意到,现在该平台已经将存储文件的域名做 404 处理。
via Hacker News
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
- Coinbase遭遇社工攻击泄露7万用户完整信息 用户可能面临人身安全问题
- Win11通知系统已成广告位:微软频繁推广《使命召唤》、Microsoft 365等
- 火影忍者情报社在哪看?
- DDUC 2023倒计时1天,精彩剧透提前看!
- 哈啰顺风车:全年完单1.5亿次 四年来累计碳减排660万吨
- TDengine 开发者大会参会指南已“打包”完毕,等你来拆封~
- “元宇宙就是水,我们日用而不自知”
- 微软和88rising梦幻联动,是谁的DNA动了?
- 深度 | 五年观察期到期后,中兴通讯下一步怎么走
- 2021年上半年海洋领域世界科技发展趋势
- 《新程序员002》图书正式上市! 从“新数据库时代”到“软件定义汽车”
- “懂行”体验店“变”了! 数字化转型也要“对症下药”
微信扫码关注公众号