Fiverr để lộ tài liệu nhạy cảm của khách hàng lên công cụ tìm kiếm: Lỗ hổng bảo mật nghiêm trọng

Fiverr, một trong những nền tảng thuê ngoài freelancer lớn nhất thế giới, vừa bị phát hiện đã vô tình để lộ hàng trăm tài liệu nhạy cảm của người dùng lên internet. Vấn đề này không phải do một lỗi mã hóa (code vulnerability) phức tạp, mà xuất phát từ một quyết định cấu hình sai lầm khi sử dụng dịch vụ đám mây.

Lỗ hổng trong cấu hình Cloudinary

Theo thông tin tiết lộ, Fiverr sử dụng dịch vụ Cloudinary để xử lý các tệp PDF và hình ảnh trong hệ thống nhắn tin, bao gồm cả các sản phẩm công việc mà freelancer gửi cho khách hàng. Về bản chất, Cloudinary ở đây hoạt động tương tự như Amazon S3, phục vụ tài sản trực tiếp cho máy khách web.

Giống như S3, Cloudinary hỗ trợ các URL có chữ ký số (signed URLs) hoặc URL có thời hạn hết hạn để đảm bảo bảo mật. Tuy nhiên, thay vì áp dụng biện pháp bảo vệ này cho các thông tin nhạy cảm trong giao tiếp giữa khách hàng và người lao động, Fiverr lại chọn sử dụng URL công khai (public URLs).

Dữ liệu cá nhân bị Google lập chỉ mục

Hậu quả của việc sử dụng URL công cộng là nghiêm trọng. Có vẻ như Fiverr đang phục vụ các tệp HTML công khai ở đâu đó chứa liên kết đến các tài liệu này. Kết quả là hàng trăm tệp tin đã bị Google lập chỉ mục (index) và xuất hiện trong kết quả tìm kiếm. Nhiều trong số đó chứa thông tin nhận dạng cá nhân (PII) quan trọng.

Người dùng có thể dễ dàng tìm thấy các tài liệu này thông qua các truy vấn Google đơn giản, ví dụ như: site:fiverr-res.cloudinary.com form 1040. Điều này đặc biệt nguy hiểm khi các tài liệu này bao gồm các tờ khai thuế và hồ sơ tài chính.

Thực tế đáng báo động hơn là Fiverr đang tích cực chạy quảng cáo Google cho các từ khóa như "nộp tờ khai thuế form 1234", bất chấp việc họ biết rằng nền tảng không bảo mật đầy đủ sản phẩm công việc thu được. Điều này vô tình khiến người chuẩn bị thuế vi phạm Quy tắc An toàn của GLBA/FTC.

Quá trình tiết lộ và phản hồi

Vấn đề bảo mật này đã được thông báo cho địa chỉ email chuyên trách ([email protected]) của Fiverr từ 40 ngày trước. Tuy nhiên, đội ngũ bảo mật của công ty đã không phản hồi bất kỳ tin nhắn nào.

Do đó, thông tin này đang được công bố rộng rãi. Người phát hiện cho biết vấn đề này dường như không đủ điều kiện để xử lý theo quy trình CVE/CERT vì bản chất nó không phải là lỗ hổng mã hóa, mà là một sai sót trong cấu hình hệ thống.

Hiện tại, trang security.txt của Fiverr chỉ cung cấp địa chỉ liên lạc, trong khi trang trợ giúp đề cập đến chương trình Bug Bounty thông qua BugCrowd, nhưng thực tế cho thấy quy trình phản hồi vẫn còn nhiều bất cập.