Tell HN: Fiverr가 고객 파일을 공개 및 검색 가능하게 함

Source: Hacker News

개요

Fiverr(프리랜서 gig 플랫폼이자 Upwork의 경쟁자)는 Cloudinary를 사용해 메시징 시스템에서 PDF와 이미지 등을 처리하며, 여기에는 작업자와 클라이언트 간에 교환되는 작업 결과물도 포함됩니다.

문제 세부 사항

• 공개 URL: Cloudinary는 S3와 유사하게 서명/만료 URL을 통해 자산을 제공할 수 있습니다. 그러나 Fiverr는 민감한 클라이언트‑작업자 커뮤니케이션을 위해 공개 URL을 선택했습니다.
• 잠재적 HTML 노출: Fiverr가 이러한 파일에 직접 연결되는 공개 HTML 페이지를 제공하고 있다는 징후가 있습니다.
• 검색 엔진 색인: 그 결과 수백 개의 파일이 Google 검색 결과에 나타나며, 그 중 다수가 개인 식별 정보(PII)를 포함하고 있습니다.

예시

노출된 문서를 보여주는 Google 검색 쿼리:

site:fiverr-res.cloudinary.com form 1040

영향

• 프라이버시 위험: 민감한 문서(예: 세금 양식)가 공개적으로 접근 가능하고 검색될 수 있습니다.
• 규제 우려: Fiverr는 “form 1234 filing” 같은 키워드에 대해 Google 광고를 운영하면서 작업 결과물이 충분히 보호되지 않았음을 알고 있습니다. 이는 준비자가 GLBA/FTC Safeguards Rule을 위반하게 할 가능성이 있습니다.

책임 있는 공개

• 통보: 이 문제는 40일 전 Fiverr 보안팀(security@fiverr.com)에 보고되었습니다.
• 응답: 회신을 받지 못했습니다.
• 공개 공개: 이 취약점은 CVE/CERT 처리 대상이 아닌 것으로 보이며(코드 취약점이 아님) 다른 알려진 해결 방안이 없으므로 공개적으로 공개됩니다.

참고 자료

• 토론 스레드: Hacker News comments (포인트: 76, 댓글: 7)