Fiverr'ın müşteri dosyalarını herkese açık bırakması nedeniyle aramalarda bulunabilir olması sorunu

 (news.ycombinator.com)
1 puan yazan GN⁺ 15 일 전 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Fiverr'ın Cloudinary üzerinden gönderilip alınan PDF ve görsel dosyalarını imzalı URL olmadan herkese açık URL'lerle sunması, Google aramalarında yüzlerce müşteri belgesinin görünmesine yol açtı
  • Açığa çıkan belgeler arasında vergi beyannameleri (Form 1040), Sosyal Güvenlik numaraları (SSN), API token'ları, sağlıkla ilgili belgeler gibi hassas bilgiler yer alıyor
  • Fiverr, bildirimi 40 gün önce almasına rağmen yanıt vermedi ve ancak sonrasında bunu “ikinci bildirim” olarak nitelendirip müdahaleye başladı
  • Topluluk bunu teknik bilgisizlik ve yapısal güvenlik kusuru olarak görüyor; ISO 27001 sertifikasına rağmen fiili korumanın bulunmadığını eleştiriyor
  • Olay, sektör genelinde güvenlik farkındalığı eksikliği ve sorumluluktan kaçınma sorununu ortaya koyan bir örnek olarak değerlendiriliyor

Fiverr müşteri dosyalarının herkese açık şekilde ifşa edildiği vaka

  • Fiverr'ın müşteri ile hizmet sağlayıcı arasında paylaşılan PDF ve görsel dosyalarını Cloudinary üzerinden işlerken, imzalı (süresi dolan) URL yerine herkese açık URL kullandığı ortaya çıktı
    • Cloudinary, Amazon S3 gibi varlıkları doğrudan web istemcisine sunuyor ve imzalı URL özelliğini destekliyor; ancak Fiverr bunu kullanmadı
    • Bazı dosyalar herkese açık HTML sayfalarından bağlantılanmış durumdaydı ve bu nedenle Google sonuçlarında yüzlercesi görünür hale geldi
    • Arama örnekleri arasında site:fiverr-res.cloudinary.com form 1040 yer alıyor; kişisel tanımlayıcı bilgi (PII) içeren çok sayıda belge doğrulandı
    • Güvenlik e-postasına (security@fiverr.com) 40 gün önce bildirim yapıldı ancak yanıt alınmadı; bunun CVE/CERT kapsamına girmemesi nedeniyle konu kamuya açık hale getirildi

Başlıca ifşa örnekleri ve etkinin kapsamı

  • Vergi beyannameleri ve hassas belgelerin ifşası

    • Google aramalarıyla vergi beyannameleri (Form 1040) dahil kişisel belgelere doğrudan erişilebildi
    • Kâr amacı gütmeyen kuruluşların iç raporları, çocuk tedavisine ilişkin belgeler, çeviri talep dosyaları gibi sivil toplum kuruluşları ve toplumsal açıdan kırılgan gruplara ait hassas veriler de yer alıyordu
    • Bazı kullanıcılar bunu “işin sürdürülemeyeceği düzeyde bir güven çöküşü” olarak tanımladı

  • Olası hukuki ve düzenleyici ihlaller

    • Fiverr, “form 1234 filing” gibi vergiyle ilgili anahtar kelimeler için Google reklamı satın alırken güvenliği yetersiz bıraktığından, GLBA/FTC Safeguards Rule ihlali söz konusu olabilir
    • Bazı yorumlarda FTC'ye bildirim gerekliliği dile getirildi

  • Açığa çıkan veri türleri

    • Sosyal Güvenlik numaraları (SSN), vergi belgeleri, API token'ları, sızma testi raporları, yönetici hesap bilgileri gibi veriler yer alıyordu
    • Bazı dosyalarda sağlıkla ilgili bilgiler de bulunuyordu
    • Fiverr satıcılarının yüklediği ücretli PDF eğitim materyalleri de arama sonuçlarında ücretsiz olarak görünüyordu

Topluluk tepkisi ve devam eden adımlara dair tartışmalar

  • Güvenlik müdahalesinin olmamasına eleştiri

    • “5 saat geçmesine rağmen hiçbir işlem yok”, “hassas dosyalar elle de olsa kaldırılmalı” gibi çok sayıda eleştiri yapıldı
    • Bazıları bunun “basit bir dikkatsizlik değil, teknik anlayış eksikliğinden kaynaklanan yapısal bir sorun” olduğunu savundu
    • Fiverr'ın ISO 27001 sertifikası ve AWS güvenlik sertifikalarından söz edilse de, yüklenen gerçek dosyalar Cloudinary'de tutuluyor

  • Fiverr'ın yanıt e-postası

    • Fiverr, “bu konunun kendilerine ikinci kez bildirildiğini ve 40 gün önceki bildirime dair kayıt bulunmadığını” söyledi
    • Bildirimi yapan kişi gönderim kaydını paylaşarak, “imzalı URL kullanılmaması yönündeki kararın kendisinin bir güvenlik başarısızlığı” olduğunu savundu
    • Fiverr'ın müşteri destek sisteminin bilet döngüsüne takılıp gerçek bir müdahaleyi imkânsız hale getirdiğine dair çok sayıda deneyim paylaşıldı

  • Dış kurumlar ve platformlarla ilgili ifadeler

    • Fiverr'ın .well-known/security.txt dosyasında BugCrowd iş birliğiyle yürütülen bir bug bounty programı bilgisi yer alıyor, ancak fiili yanıt yetersiz bulundu
    • Bunun Cloudinary tarafındaki bug bounty kapsamına girip giremeyeceği tartışılsa da, istemci site yapısı nedeniyle anında müdahale edilemeyeceği değerlendirildi
    • Geçmişte aynı sorun nedeniyle DMCA talepleri gönderildiğine dair kayıtlar Lumen Database'te görüldü

Teknik nedenler ve yapısal sorun

  • Google indeksleme yolu

    • Google URL'leri rastgele indekslemez; yalnızca bağlantılar veya site haritaları üzerinden erişilebilen dosyaları indeksler
    • Fiverr'ın herkese açık HTML sayfalarında veya site haritalarında Cloudinary dosyalarına referans verdiği tahmin ediliyor
    • Bazı kullanıcılar “robots.txt ayarı veya kimlik doğrulama yolu eklenmeli” önerisinde bulundu

  • Güvenlik farkındalığı eksikliği

    • Birçok yorumda sektörde “güvenlik kavramının kendisini bilmeyen geliştiriciler” bulunduğu vurgulandı
    • “Direct Object Access”, “robots.txt” ve “sitemap” gibi kavramları dahi bilmeyen örneklerden söz edildi
    • Ucuz dış kaynak iş gücüne dayalı geliştirme yapısının güvenlik kalitesini düşürdüğü eleştirisi yapıldı

Diğer tartışmalar ve kamuoyu tepkisi

  • Medya haberi beklentisi

    • Wired, Ars Technica, 404 Media gibi teknoloji medyalarının konuyu haberleştirmesi gerektiği dile getirildi
    • “Bu artık medyanın ele alacağı seviyede” görüşü yaygındı

  • Hiciv ve eleştiri

    • “Fiverr güvenliği de Fiverr'dan mı aldı?”, “Bu doğrudan kökten temizlenmeli (Burn it to the ground)” gibi alaycı tepkiler paylaşıldı
    • Bazıları bunu “AI-first yaklaşım yüzünden iç süreçlerin çökmesinin sonucu” olarak eleştirdi

  • Diğer örnekler

    • Bir kullanıcı, ifşa edilen belgeler arasında “HOOD NIGGA AFFIRMATIONS” adlı bir kitap taslağı bulduğunu ve içeriğinin beklenmedik şekilde olumlu olduğunu söyledi
    • Fiverr'ın satın aldığı and.co hizmetini kapatmış olmasına da değinilerek, şirket için “garip bir şirket” yorumu yapıldı

Genel değerlendirme

  • Fiverr'ın herkese açık URL kullanma politikası, müşterilerin vergi, sağlık ve hesap bilgileri gibi hassas verilerinin geniş çapta ifşa olmasına yol açtı
  • Bu durum, güvenlik bildirimlerine yanıt verilmemesi, geciken müdahale ve teknik bilgisizlik etkenlerinin birleştiği bir vaka olarak görülüyor
  • Topluluk bunu “sektör genelindeki güvenlik duyarsızlığını gösteren bir olay” olarak görüyor ve güçlü düzenleme ile hesap sorulması gerektiğini vurguluyor

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.