江蘇
關鍵詞
數據泄露
國外知名零工平臺Fiverr因Cloudinary配置不當,超3萬個用戶文件暴露在公網,包括納稅表單等敏感信息。安全研究員報告40天無回復,最終問題被公開。
事件概述
近日,全球最大零工平臺之一Fiverr被安全研究員曝光嚴重數據泄露:
泄露數量:谷歌搜索抓取超過30,000+個URL
文件類型:主要是PDF文件(接單者提交的工作成果)
敏感信息:包含個人納稅表單、身份證明等隱私文件
響應情況:漏洞報告40天無回復,最終被公開
泄露原因:Cloudinary配置"裸奔"
問題出在Fiverr使用的云存儲服務Cloudinary:
配置項
正確做法
Fiverr實際
URL簽名
必須簽名訪問
? 公共URL
過期時間
設置有效期
? 永不過期
訪問控制
需鑒權
? 任意訪問
接單者需要向客戶提交工作成果(PDF/圖片),Fiverr將這些文件存儲在Cloudinary并生成鏈接。但由于選擇使用"公共URL",任何拿到鏈接的人都可以直接查看文件,無需任何認證。
影響范圍有多大?
通過簡單的谷歌搜索命令即可獲取泄露文件:
site:fiverr-res.cloudinary.com安全研究員發現的泄露文件包括:
工作成果PDF(可能含客戶商業機密)
納稅表單(包含個人身份信息)
身份證明文件
其他敏感個人文件
問題本質:這不僅是"漏洞",更是系統性的配置錯誤。
企業為何忽視?
為什么Fiverr遲遲不修復?可能原因:
非傳統漏洞:不符合CVE/CERT處理流程,難以定性
責任推諉:認為是Cloudinary的責任
業務優先:修復可能影響用戶體驗和業務流程
隱蔽性強:沒有明顯攻擊痕跡,難以被發現
但安全研究員不這么看:40天不回復 = 默認忽視。
云存儲安全的警示
不僅是Fiverr,這是所有使用云存儲的企業的通病。常見云存儲配置錯誤
服務
風險
案例
AWS S3桶
公開讀寫
多家企業數據泄露
Cloudinary
公共URL
Fiverr事件
阿里云OSS
權限過寬
也曾發生
GitHub倉庫
敏感密鑰
每日數千個
正確配置檢查清單
? 啟用URL簽名和過期時間
? 最小權限原則(IAM)
? 定期審計訪問日志
? 敏感文件加密存儲
? 禁止搜索引擎抓取(robots.txt)
對國內企業的啟示
國內零工平臺/外包平臺類似問題同樣存在:
你以為的"私域文件"可能早已被搜索引擎收錄
云存儲桶配置錯誤是常見泄露原因
? 漏洞響應速度 = 安全成熟度
建議:
檢查所有云存儲URL是否是公共訪問
審計歷史文件是否有異常訪問
建立云存儲安全檢查機制
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
