Thought Leadership
Über eine öffentlich zugängliche Cloudinary-Instanz sickern private Nutzerdokumente der Freelance-Plattform Fiverr ins Netz und werden von Google indexiert. Der Entdecker wartet seit über 40 Tagen auf eine Reaktion des Unternehmens.
Wer bei Google die richtigen Suchbegriffe eingibt, findet derzeit sensible Dokumente von Fiverr-Nutzern im Klartext: ausgefüllte Steuererklärungen, Personalausweise, Rechnungen, API-Zugangsdaten und Passwörter. Möglich macht das eine falsch konfigurierte Instanz des Cloud-Dienstes Cloudinary, über den die Gig-Plattform Dateien zwischen Auftraggebern und Freelancern austauscht.
Aufgedeckt wurde das Problem von einem anonymen Sicherheitsforscher, der unter dem Pseudonym morpheuskafka auf Hacker News darüber berichtete. Dem Forscher zufolge nutzt Fiverr Cloudinary ähnlich wie einen S3-Speicherdienst, also zur direkten Auslieferung von Dateien an Webbrowser. Der entscheidende Fehler: Statt auf signierte, ablaufende URLs zu setzen, verwendet Fiverr offenbar öffentliche Links, die von Suchmaschinen problemlos gecrawlt und indexiert werden können.
„Fiverr nutzt Cloudinary zur Verarbeitung von PDFs und Bildern im Nachrichtensystem, darunter auch fertige Arbeitsergebnisse vom Auftragnehmer an den Auftraggeber. Für diese sensible Kommunikation wurden öffentliche statt signierter URLs verwendet.“
morpheuskafka, Hacker News
Was alles betroffen ist
Das Ausmaß des Lecks ist erheblich. Das englischsprachige Cybersecurity-Portal Cybernews bestätigte, dass die Suchergebnisse betroffener Server tatsächlich Steuererklärungen, Ausweisdokumente, Rechnungen und weitere personenbezogene Daten preisgeben. Neben privaten Dokumenten tauchten auch Lieferergebnisse von Freelancern auf: von Marketingmaterial über Abschlussarbeiten bis hin zu Penetrationstestberichten. Ironischerweise findet sich unter den geleakten Dateien auch Fiverrss eigenes ISO-27001-Zertifikat für Informationssicherheit, das vor vier Monaten abgelaufen ist.
Sicherheitsforscher Aras Nazarovas von Cybernews ordnet den Vorfall klar ein: Es handle sich um einen schwerwiegenden Sicherheitsfehler. Alle Dateien, die zwischen Käufern und Verkäufern ausgetauscht wurden, darunter Ausweisdokumente, Verträge, Passwörter und API-Schlüssel, seien potenziell öffentlich zugänglich. Externe Angreifer können zwar nicht einfach alle betroffenen Dateien auflisten, da dafür ein Account-API-Schlüssel nötig wäre. Wer jedoch weiß, was er sucht, wird bei Google fündig.
Responsible Disclosure ignoriert
Der Entdecker gibt an, Fiverr bereits vor mehr als 40 Tagen über die Schwachstelle informiert zu haben, per E-Mail an die offizielle Sicherheitsadresse [email protected]. Eine Antwort blieb aus. Da es sich technisch gesehen nicht um eine klassische Code-Schwachstelle handelt, sieht der Forscher keine Möglichkeit, das Problem über CVE- oder CERT-Prozesse zu eskalieren, und entschied sich daher zur Veröffentlichung.
Nazarovas weist zudem darauf hin, dass Fiverr selbst aktiv Google-Anzeigen für steuerbezogene Keywords schaltet und Nutzer so auf die Plattform lockt. Ohne angemessene Sicherheitsvorkehrungen könnte das Unternehmen gegen den US-amerikanischen Gramm-Leach-Bliley Act (GLBA) und die FTC Safeguards Rule verstoßen, die Steuerberater zum Schutz von Kundendaten verpflichten.
Was Betroffene jetzt tun sollten
Wer über Fiverr jemals Zugangsdaten, API-Schlüssel oder andere vertrauliche Informationen in Nachrichten geteilt hat, sollte diese umgehend erneuern. Nazarovas empfiehlt außerdem, auf Anzeichen von Identitätsmissbrauch oder Phishing-Versuche zu achten.
An Fiverr richtet der Forscher die Forderung, sofort korrekte Zugriffskontrollen für private Dateien einzurichten, betroffene Inhalte aus Suchmaschinen-Indizes entfernen zu lassen und die betroffenen Nutzer zu informieren. Zum Zeitpunkt der Veröffentlichung des Originalberichts waren die Daten noch immer frei zugänglich. Fiverr hat sich bislang nicht geäußert.
