Introduction
Fiverr, une plateforme de travail freelance, a récemment été victime d'une fuite de données sensibles en raison de l'utilisation de public URLs non signées pour les communications entre les travailleurs et les clients via le service Cloudinary.
Contexte Technique
Cloudinary est utilisé par Fiverr pour traiter les PDF et les images dans les messages, y compris les produits de travail des travailleurs pour les clients. Cependant, Fiverr a choisi d'utiliser des public URLs au lieu de URLs signées et expirables, ce qui a permis l'accès public à des fichiers sensibles.
De plus, il semble que Fiverr serve des pages HTML publiques qui lient à ces fichiers, ce qui a entraîné l'indexation de centaines de fichiers par Google, dont beaucoup contiennent des informations personnelles sensibles.
Analyse et Implications
Cette faille de sécurité a des implications importantes pour la confidentialité et la sécurité des données des clients de Fiverr. En effet, les préparateurs de déclarations de revenus pourraient violer la règle de protection des données de la GLBA/FTC en raison de la non-sécurisation adéquate des produits de travail.
Il est également surprenant de constater que Fiverr achète des annonces Google pour des mots-clés liés à la préparation de déclarations de revenus, malgré le fait qu'il ne sécurise pas correctement les produits de travail résultants.
Perspective
Il est essentiel pour Fiverr de prendre des mesures immédiates pour corriger cette faille de sécurité et protéger les données sensibles de ses clients. Cela inclut l'utilisation de URLs signées et expirables, ainsi que la mise en place de mesures de sécurité supplémentaires pour empêcher l'accès non autorisé aux fichiers sensibles.
Il est également important de noter que cette faille de sécurité a été signalée à l'équipe de sécurité de Fiverr il y a 40 jours, mais aucune réponse n'a été reçue, ce qui a entraîné la publication de cette information pour sensibiliser le public à ce problème.
