关键词
数据泄露
国外知名零工平台Fiverr因Cloudinary配置不当,超3万个用户文件暴露在公网,包括纳税表单等敏感信息。安全研究员报告40天无回复,最终问题被公开。
事件概述
近日,全球最大零工平台之一Fiverr被安全研究员曝光严重数据泄露:
泄露数量:谷歌搜索抓取超过30,000+个URL
文件类型:主要是PDF文件(接单者提交的工作成果)
敏感信息:包含个人纳税表单、身份证明等隐私文件
响应情况:漏洞报告40天无回复,最终被公开
泄露原因:Cloudinary配置"裸奔"
问题出在Fiverr使用的云存储服务Cloudinary:
配置项
正确做法
Fiverr实际
URL签名
必须签名访问
❌ 公共URL
过期时间
设置有效期
❌ 永不过期
访问控制
需鉴权
❌ 任意访问
接单者需要向客户提交工作成果(PDF/图片),Fiverr将这些文件存储在Cloudinary并生成链接。但由于选择使用"公共URL",任何拿到链接的人都可以直接查看文件,无需任何认证。
影响范围有多大?
通过简单的谷歌搜索命令即可获取泄露文件:
site:fiverr-res.cloudinary.com安全研究员发现的泄露文件包括:
工作成果PDF(可能含客户商业机密)
纳税表单(包含个人身份信息)
身份证明文件
其他敏感个人文件
问题本质:这不仅是"漏洞",更是系统性的配置错误。
企业为何忽视?
为什么Fiverr迟迟不修复?可能原因:
非传统漏洞:不符合CVE/CERT处理流程,难以定性
责任推诿:认为是Cloudinary的责任
业务优先:修复可能影响用户体验和业务流程
隐蔽性强:没有明显攻击痕迹,难以被发现
但安全研究员不这么看:40天不回复 = 默认忽视。
云存储安全的警示
不仅是Fiverr,这是所有使用云存储的企业的通病。常见云存储配置错误
服务
风险
案例
AWS S3桶
公开读写
多家企业数据泄露
Cloudinary
公共URL
Fiverr事件
阿里云OSS
权限过宽
也曾发生
GitHub仓库
敏感密钥
每日数千个
正确配置检查清单
✅ 启用URL签名和过期时间
✅ 最小权限原则(IAM)
✅ 定期审计访问日志
✅ 敏感文件加密存储
✅ 禁止搜索引擎抓取(robots.txt)
对国内企业的启示
国内零工平台/外包平台类似问题同样存在:
你以为的"私域文件"可能早已被搜索引擎收录
云存储桶配置错误是常见泄露原因
⏰ 漏洞响应速度 = 安全成熟度
建议:
检查所有云存储URL是否是公共访问
审计历史文件是否有异常访问
建立云存储安全检查机制
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴