Fiverr soll Nutzerdaten an Google für Indexierungszwecke weitergeben, so Forscher

Die Freelance-Dienstleistungsplattform Fiverr ist mit einem erheblichen Datenschutzvorfall konfrontiert, nachdem Forscher entdeckten, dass sensible Kundendateien öffentlich zugänglich und.

Ei Die Freelance-Dienstleistungsplattform Fiverr ist mit einem erheblichen Datenschutzvorfall konfrontiert, nachdem Forscher entdeckten, dass sensible Kundendateien öffentlich zugänglich und.

Einem kürzlichen Bericht auf Hacker News zufolge hat eine unsichere Konfiguration des Datei-Hostings personenbezogene identifizierbare Informationen (PII) offengelegt, darunter ausgefüllte Steuerformulare, die zwischen Freiberuflern und Kunden ausgetauscht wurden.

Technischer Hintergrund

Die Cloudinary-Fehlkonfiguration Der Ursprung der Datenoffenlegung liegt in der Art und Weise, wie Fiverr den Datei-Austausch innerhalb seines internen Messaging-Systems handhabt.

Die Plattform stützt sich auf einen Drittanbieter namens Cloudinary, um Bilder und PDF-Dokumente zu verarbeiten und zu hosten, einschließlich der endgültigen Arbeitsprodukte, die an Kunden geliefert werden.

Obwohl Cloudinary ähnlich wie ein Amazon S3 Digital Storage Bucket funktioniert und sichere, ablaufende Web-Links unterstützt, hat Fiverr Berichten zufolge den Dienst falsch konfiguriert. Anstatt eine Authentifizierung zu verlangen, entschied sich Fiverr dafür, vollständig öffentliche URLs für diese sensiblen Anhänge zu generieren.

Da diese Dateien der Öffentlichkeit zugänglich waren, konnten Suchmaschinen wie Google sie crawlen und indizieren.