テクノロジーフォーラムHacker Newsでの最近の情報開示により、人気のあるフリーランスタスクマーケットプレイスであるFiverrで重大なプライバシー侵害が明らかになりました。
セキュリティ研究者らは、税務書類や個人情報を含む機密性の高い顧客ファイルが現在一般にアクセス可能であり、Google検索結果内で積極的にインデックスされていると主張しています。
データ漏洩は、フリーランサーと顧客間で送信されるファイル添付物の不安全な処理に由来しています。
Cloudinaryは画像とPDFを処理するために使用される第三者クラウドサービスです。Amazon S3バケットと同様の機能を備え、デジタル資産をインターネットユーザーに直接保存して配信します。
公開されたデータの規模は重大なプライバシーリスクをもたらします。研究者は、IRS Form 1040などの機密税務書類が検索結果で容易に表示されることを示す具体的なGoogle検索クエリを提供しました。
つまり、非常に機密性の高い個人識別情報(PII)(社会保障番号、財務データ、および物理的なアドレスを含む)がオープンインターネットに露出しているということです。
脅威行為者は検索エンジンから公開されたPIIをスクレイプして、身元盗用キャンペーン、金銭詐欺、および標的型フィッシング攻撃を実施することが頻繁にあります。
さらに、情報開示ではFiverrがプラットフォーム上で税務準備サービスの広告を積極的に実施していることが指摘されています。
結果として得られた税務書類を保護しなかったことで、Fiverrプラットフォームの過失により、税務準備者がGLBAおよびFTC保障ルールなどの厳密なコンプライアンスフレームワークに違反することを強要される可能性があります。
おそらく最も懸念される点は、初期のセキュリティ警告に対するFiverrの対応がないことです。研究者は、この設定ミスが公開開示の40日前にFiverrの指定セキュリティチームに責任を持って報告されたと述べています。
返信や確認を受け取らなかったため、研究者は影響を受けたユーザーに警告するためにHacker Newsに調査結果を公開することを選択しました。
この問題は従来のソフトウェアコード欠陥ではなくアーキテクチャの設定ミスであるため、標準的なCVE(Common Vulnerabilities and Exposures)追跡番号を受け取る可能性は低いです。
データ漏洩を解決するために、サイバーセキュリティ専門家は、Fiverrが直ちにユーザーファイルを署名付きURLに移行し、Cloudinaryストレージへのパブリックアクセスを取り消し、Google検索キャッシュから公開されたドキュメントを削除するよう自動リクエストを提出する必要があると指摘しています。Fiverrはまだ事件に関する公式声明を発表していません。
翻訳元: https://cyberpress.org/fiverr-user-data-is-exposed-in-google-search-results/
