【要注意】Fiverrの機密ファイルがGoogle検索で丸見え？顧客情報漏洩の深刻なリスクについて

ギグワーク・プラットフォーム大手のFiverrが、メッセージ機能でやり取りされるPDFや画像ファイルの処理にCloudinaryというサービスを利用しています。このCloudinaryは本来S3のようにアセットを直接配信する仕組みで、署名付きURLや有効期限設定といった保護機能が利用可能です。しかし、Fiverrはこの設定を使わず、誰でもアクセス可能な公開URLを利用していました。さらに、これらのファイルへのリンクが公開HTML上に存在するようで、結果としてGoogleの検索インデックスに登録され、個人情報（PII）を含む数百ものファイルが誰でも検索可能な状態になっています。検索例: site:fiverr-res.cloudinary.com form 1040。Fiverrは「確定申告関連」のキーワードでGoogle広告を出稿しつつ、肝心の成果物を適切に保護していないため、利用者がGLBA（グラム・リーチ・ブライリー法）やFTCのセーフガード規則に抵触する恐れがあります。責任ある開示（Responsible Disclosure）として、指定の脆弱性窓口（security@fiverr.com）へ連絡してから40日が経過しましたが、セキュリティチームからの回答はありません。コード上の脆弱性というよりは設定ミスであるためCVE/CERTの対象外と判断し、今回公開に踏み切りました。

ちゃんと報告の手順通りにやってるね。https://www.fiverr.com/.well-known/security.txt には "Contact: security@fiverr.com" しか書かれてないし、ヘルプページにも「FiverrはBugCrowdと連携してバグバウンティプログラムを運営しています。脆弱性を見つけたらsecurity@fiverr.comに連絡して、参加方法を教えてもらってください」って書いてあるしね。

うわ、もっと大騒ぎになってもおかしくないのに意外だな。Form 1040（確定申告書）が流出してるなんて言語道断だし、それをGoogleにインデックスされてるなんてなおさらだよ...

検索結果がひどいことになってる。APIトークンやペネトレーションテストのレポート、機密PDF、内部APIまで簡単に見つかるよ。Fiverrは解決するまで、静的アセットへのアクセスをすぐにブロックすべき。ビジネス継続性とか言ってる場合じゃないでしょ。

これはひどい。何千ものSSN（社会保障番号）がそこにある。それに、Fiverrでデジタル商品を売ってる人たちのPDFコースも、全部検索結果で無料で出てきちゃってるよ。

ソフトウェア開発の仕事って誰でもなりすぎじゃないかな。何百万人ものデータにアクセス・管理できる仕事には、ちゃんとしたソフトウェアエンジニアリングの認定が必要だと思う。それに、セキュリティ報告を完全に無視するようなひどいことには、ビジネスが傾くくらいの罰金を科すべきだよ。毎週、あるいはほぼ毎日こんな流出があるのが当たり前みたいになってる状況はどうかしてる。

数ヶ月前に誰かがこれに関してDMCAの苦情を出してたみたいだね: https://lumendatabase.org/notices/53130362

security@fiverr.comにメールしたら返信が来たよ。

「あなたでこの件を指摘するのは2人目です。投稿者が主張しているような、約40日前にFiverrのセキュリティ担当者と連絡を取ったという事実は記録にありません。現在、状況解決に向けて取り組んでいます」

うわ、他のコメントも大げさじゃなかったんだ。これは本当にひどい。もし自分の確定申告書とか他のデータが含まれてたら、法的措置を考えるかもな。

WiredとかArs Technica、404mediaあたりがこれを取り上げないかな？

もう5時間も経ってるよ。一番ヤバいファイルを削除するだけなら、手動でも3時間前には終わってないとおかしい。一体どうなってるんだ。