- Fiverr đã cung cấp các tệp PDF·hình ảnh được trao đổi qua Cloudinary bằng URL công khai thay vì URL có chữ ký, khiến hàng trăm tài liệu khách hàng bị lộ trên Google Search
- Tài liệu bị lộ bao gồm tờ khai thuế (Form 1040), số An sinh Xã hội (SSN), API token, tài liệu liên quan đến sức khỏe và các thông tin nhạy cảm khác
- Fiverr đã nhận được báo cáo từ 40 ngày trước nhưng không phản hồi, và chỉ sau đó mới bắt đầu xử lý với lý do đây là “báo cáo thứ hai”
- Cộng đồng xem đây là sự thiếu hiểu biết kỹ thuật và lỗi bảo mật mang tính cấu trúc, chỉ trích rằng dù có chứng nhận ISO 27001 nhưng vẫn thiếu biện pháp bảo vệ thực chất
- Vụ việc này được đánh giá là ví dụ cho thấy sự thiếu nhận thức về bảo mật và xu hướng né tránh trách nhiệm trong toàn ngành
Trường hợp tệp khách hàng của Fiverr bị lộ ở trạng thái công khai
- Khi Fiverr xử lý các tệp PDF·hình ảnh được trao đổi giữa khách hàng và người làm việc qua Cloudinary, công ty bị phát hiện đã dùng URL công khai thay vì URL có chữ ký (expiring)
- Cloudinary, giống như Amazon S3, cung cấp trực tiếp tài sản cho web client và hỗ trợ tính năng URL có chữ ký, nhưng Fiverr đã không sử dụng
- Một số tệp được liên kết từ các trang HTML công khai, khiến hàng trăm mục xuất hiện trong kết quả tìm kiếm của Google
- Ví dụ truy vấn tìm kiếm có
site:fiverr-res.cloudinary.com form 1040, qua đó xác nhận có nhiều tài liệu chứa thông tin nhận dạng cá nhân (PII)
- Đã gửi báo cáo tới email phụ trách bảo mật (security@fiverr.com) từ 40 ngày trước nhưng không có phản hồi, nên vì không thuộc quy trình xử lý CVE/CERT nên vụ việc được chuyển sang công khai
Các trường hợp lộ lọt chính và phạm vi ảnh hưởng
-
Lộ tờ khai thuế và tài liệu nhạy cảm
- Có thể truy cập trực tiếp các tài liệu cá nhân, bao gồm tờ khai thuế (Form 1040), thông qua Google Search
- Cũng có dữ liệu nhạy cảm của tổ chức phi lợi nhuận và các nhóm yếu thế trong xã hội, như báo cáo nội bộ của tổ chức phi lợi nhuận, tài liệu liên quan đến điều trị trẻ em, tài liệu yêu cầu dịch thuật
- Một số người dùng mô tả đây là “sự sụp đổ niềm tin đến mức doanh nghiệp không thể tiếp tục tồn tại”
-
Khả năng vi phạm pháp lý và quy định
- Fiverr đã mua quảng cáo Google với các từ khóa thuế như “form 1234 filing” nhưng bảo mật vẫn yếu kém, nên có khả năng vi phạm GLBA/FTC Safeguards Rule
- Một số bình luận nhắc đến sự cần thiết phải báo cáo cho FTC
-
Các loại dữ liệu bị lộ
- Bao gồm số An sinh Xã hội (SSN), tài liệu thuế, API token, báo cáo kiểm thử xâm nhập, thông tin tài khoản quản trị viên
- Một số tệp thậm chí còn chứa thông tin liên quan đến sức khỏe
- Các tài liệu bài giảng PDF trả phí do người bán trên Fiverr tải lên cũng xuất hiện miễn phí trong kết quả tìm kiếm
Phản ứng của cộng đồng và thảo luận về các bước tiếp theo
-
Chỉ trích việc thiếu phản ứng bảo mật
- Nhiều ý kiến cho rằng “đã 5 tiếng trôi qua mà vẫn chưa có biện pháp nào”, “ít nhất cũng phải gỡ các tệp nhạy cảm xuống thủ công”
- Một số người đánh giá đây “không chỉ là bất cẩn đơn thuần mà là vấn đề cấu trúc do thiếu hiểu biết kỹ thuật”
- Dù có nhắc đến chứng nhận ISO 27001 của Fiverr và các chứng nhận bảo mật AWS, các tệp được tải lên thực tế lại được lưu trên Cloudinary
-
Email phản hồi từ Fiverr
- Fiverr trả lời rằng “đây là lần thứ hai họ nhận được báo cáo về vấn đề này và không có ghi nhận nào từ 40 ngày trước”
- Người báo cáo đã công khai lịch sử gửi thư và phản bác rằng “chính quyết định không dùng URL có chữ ký đã là một thất bại bảo mật”
- Cũng có nhiều chia sẻ rằng hệ thống hỗ trợ khách hàng của Fiverr bị mắc kẹt trong vòng lặp ticket nên không thể xử lý thực chất
-
Các đề cập đến tổ chức bên ngoài và nền tảng liên quan
- Trong
.well-known/security.txt của Fiverr có hướng dẫn tới chương trình bug bounty hợp tác với BugCrowd, nhưng phản ứng thực tế bị đánh giá là thiếu sót
- Có thảo luận về việc liệu vấn đề này có thuộc phạm vi bug bounty của Cloudinary hay không, nhưng được đánh giá là khó có biện pháp tức thời do cấu trúc phía client site
- Cơ sở dữ liệu Lumen Database cho thấy trước đây từng có yêu cầu DMCA liên quan đến cùng một vấn đề
Nguyên nhân kỹ thuật và vấn đề mang tính cấu trúc
-
Con đường để Google lập chỉ mục
- Google không lập chỉ mục URL ngẫu nhiên, mà chỉ lập chỉ mục các tệp có thể truy cập qua liên kết hoặc sitemap
- Nhiều khả năng Fiverr đã tham chiếu tới các tệp Cloudinary trong các trang HTML công khai hoặc sitemap
- Một số người dùng đề xuất “cần thêm thiết lập robots.txt hoặc đường dẫn yêu cầu xác thực”
-
Thiếu nhận thức về bảo mật
- Nhiều bình luận chỉ ra vấn đề rộng khắp trong ngành rằng có rất nhiều lập trình viên thậm chí không hiểu khái niệm bảo mật cơ bản
- Các trường hợp thậm chí không biết những khái niệm như “truy cập trực tiếp đối tượng (Direct Object Access)”, “robots.txt”, “sitemap” cũng được nhắc đến
- Có ý kiến cho rằng mô hình phát triển phụ thuộc vào nhân lực outsource giá rẻ dẫn tới suy giảm chất lượng bảo mật
Các thảo luận và dư luận khác
-
Kỳ vọng được báo chí đưa tin
- Có nhắc đến nhu cầu các truyền thông công nghệ như Wired, Ars Technica, 404 Media vào cuộc đưa tin
- Nhiều ý kiến cho rằng “mức độ này đủ để báo chí phải đề cập”
-
Châm biếm và chỉ trích
- Xuất hiện các phản ứng mỉa mai như “Fiverr có thuê luôn bảo mật trên Fiverr không”, “cái này chỉ có nước đốt sạch từ gốc”
- Một số người còn cho rằng đây là hậu quả của cách tiếp cận “AI-first” làm sụp đổ quy trình nội bộ
-
Các trường hợp khác
- Một người dùng nói đã tìm thấy bản thảo cuốn sách “HOOD NIGGA AFFIRMATIONS” trong số các tài liệu bị lộ và nhận xét nội dung lại tích cực ngoài dự đoán
- Cũng có nhắc đến việc Fiverr từng ngừng dịch vụ and.co mà họ đã mua lại, và vì thế bị đánh giá là “một công ty kỳ lạ”
Đánh giá tổng hợp
- Chính sách dùng URL công khai của Fiverr đã khiến dữ liệu nhạy cảm quy mô lớn của khách hàng như thông tin thuế, sức khỏe, tài khoản bị lộ
- Đây được xem là trường hợp tổng hợp của việc phớt lờ báo cáo bảo mật, phản ứng chậm trễ và thiếu hiểu biết kỹ thuật
- Cộng đồng nhìn nhận đây là “một vụ việc phơi bày sự vô cảm với bảo mật trong toàn ngành” và nhấn mạnh cần có quy định mạnh tay cùng trách nhiệm giải trình rõ ràng hơn
Chưa có bình luận nào.