Fiverr ने ग्राहक फ़ाइलों को सार्वजनिक छोड़ दिया, जिससे वे खोज में मिल रही थीं

 (news.ycombinator.com)
1 पॉइंट द्वारा GN⁺ 16 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • Fiverr ने Cloudinary के ज़रिये आदान-प्रदान की गई PDF और इमेज फ़ाइलों को signed URL के बिना public URL पर उपलब्ध कराया, जिससे Google खोज में ग्राहकों के सैकड़ों दस्तावेज़ सामने आ गए
  • उजागर सामग्री में tax return (Form 1040), Social Security Number (SSN), API token, स्वास्थ्य-संबंधी दस्तावेज़ जैसी संवेदनशील जानकारी शामिल थी
  • Fiverr ने 40 दिन पहले मिली सूचना पर भी कोई जवाब नहीं दिया, और बाद में ही इसे “दूसरी रिपोर्ट” बताकर कार्रवाई शुरू की
  • कम्युनिटी ने इसे तकनीकी अज्ञानता और संरचनात्मक सुरक्षा खामी का मामला बताया, और ISO 27001 प्रमाणन के बावजूद वास्तविक सुरक्षा के अभाव की आलोचना की
  • इस घटना को पूरे उद्योग में सुरक्षा जागरूकता की कमी और जवाबदेही से बचने की प्रवृत्ति दिखाने वाले उदाहरण के रूप में देखा गया

Fiverr ग्राहक फ़ाइलों के सार्वजनिक रूप से उजागर होने का मामला

  • यह सामने आया कि Fiverr ने Cloudinary के ज़रिये ग्राहकों और काम करने वालों के बीच साझा की जाने वाली PDF और इमेज फ़ाइलों को प्रोसेस करते समय signed (expiring) URL की जगह public URL का इस्तेमाल किया
    • Cloudinary, Amazon S3 की तरह, वेब क्लाइंट को सीधे assets उपलब्ध कराता है और signed URL सुविधा देता है, लेकिन Fiverr ने इसका इस्तेमाल नहीं किया
    • कुछ फ़ाइलें public HTML pages से link की गई थीं, जिससे Google search results में सैकड़ों एंट्री दिखाई दीं
    • खोज के उदाहरणों में site:fiverr-res.cloudinary.com form 1040 शामिल हैं, और Personally Identifiable Information (PII) वाले कई दस्तावेज़ मिले
    • security@fiverr.com पर 40 दिन पहले सूचना भेजी गई थी, लेकिन कोई जवाब नहीं मिला, और CVE/CERT प्रक्रिया के दायरे में न आने पर इसे सार्वजनिक किया गया

मुख्य खुलासे और प्रभाव का दायरा

  • टैक्स रिटर्न और संवेदनशील दस्तावेज़ उजागर

    • Google search के माध्यम से tax return (Form 1040) सहित निजी दस्तावेज़ सीधे उपलब्ध थे
    • गैर-लाभकारी संस्थाओं की internal reports, बच्चों के उपचार से जुड़े दस्तावेज़, translation request सामग्री जैसे गैर-लाभकारी संस्थानों और सामाजिक रूप से कमजोर समूहों के संवेदनशील डेटा भी शामिल थे
    • कुछ उपयोगकर्ताओं ने इसे “इतना गंभीर भरोसे का टूटना कि व्यवसाय चलाना मुश्किल हो जाए” जैसा बताया

  • कानूनी और नियामकीय उल्लंघन की आशंका

    • Fiverr ने “form 1234 filing” जैसे टैक्स-संबंधी keywords पर Google ads खरीदे, लेकिन सुरक्षा कमजोर होने के कारण GLBA/FTC Safeguards Rule उल्लंघन की आशंका जताई गई
    • कुछ टिप्पणियों में FTC को रिपोर्ट करने की ज़रूरत का ज़िक्र हुआ

  • उजागर डेटा के प्रकार

    • Social Security Number (SSN), tax documents, API token, penetration test reports, admin account information जैसी चीज़ें शामिल थीं
    • कुछ फ़ाइलों में स्वास्थ्य-संबंधी जानकारी भी थी
    • Fiverr sellers द्वारा अपलोड की गई paid PDF course materials भी search results में मुफ्त में दिख रही थीं

कम्युनिटी की प्रतिक्रिया और आगे की कार्रवाई पर चर्चा

  • सुरक्षा प्रतिक्रिया की कमी पर आलोचना

    • “5 घंटे बाद भी कोई कार्रवाई नहीं”, “कम से कम manually संवेदनशील फ़ाइलें हटानी चाहिए” जैसी कई प्रतिक्रियाएँ आईं
    • कुछ लोगों ने इसे “सिर्फ लापरवाही नहीं, बल्कि तकनीकी समझ की कमी से पैदा हुई संरचनात्मक समस्या” कहा
    • Fiverr के ISO 27001 certification और AWS security certification का ज़िक्र हुआ, लेकिन वास्तविक uploaded files Cloudinary पर store थीं

  • Fiverr का जवाबी ईमेल

    • Fiverr ने उत्तर दिया कि “यह मामला उन्हें दूसरी बार रिपोर्ट किया गया है, और 40 दिन पहले की कोई रिपोर्ट दर्ज नहीं है”
    • रिपोर्ट करने वाले ने भेजे गए ईमेल का रिकॉर्ड साझा किया और कहा कि “signed URL का उपयोग न करने का निर्णय ही सुरक्षा विफलता था
    • Fiverr के customer support सिस्टम के ticket loop में फँस जाने और वास्तविक प्रतिक्रिया न मिलने के कई अनुभव साझा किए गए

  • बाहरी संस्थाओं और प्लेटफ़ॉर्म का उल्लेख

    • Fiverr की .well-known/security.txt में BugCrowd के साथ bug bounty program का उल्लेख है, लेकिन वास्तविक प्रतिक्रिया कमजोर बताई गई
    • यह चर्चा हुई कि क्या मामला Cloudinary के bug bounty scope में आ सकता है, लेकिन client site structure के कारण तुरंत कार्रवाई संभव नहीं मानी गई
    • Lumen Database में इसी तरह की समस्या पर पहले DMCA request दर्ज होने का रिकॉर्ड मिलने की बात कही गई

तकनीकी कारण और संरचनात्मक समस्या

  • Google indexing का रास्ता

    • Google बेतरतीब तरीके से URL index नहीं करता; वह सिर्फ link या sitemap के ज़रिये पहुँचा जा सकने वाली फ़ाइलों को index करता है
    • अनुमान है कि Fiverr ने public HTML pages या sitemap में Cloudinary फ़ाइलों का संदर्भ दिया था
    • कुछ उपयोगकर्ताओं ने “robots.txt settings या authentication path जोड़ना चाहिए” जैसी सलाह दी

  • सुरक्षा जागरूकता की कमी

    • कई टिप्पणियों में कहा गया कि उद्योग में “ऐसे developer बहुत हैं जिन्हें सुरक्षा की बुनियादी अवधारणाएँ ही नहीं पता
    • “Direct Object Access”, “robots.txt”, “sitemap” जैसी अवधारणाओं तक की समझ न होने के उदाहरण दिए गए
    • कम लागत वाले outsourced workforce पर आधारित development structure को सुरक्षा गुणवत्ता में गिरावट का कारण बताया गया

अन्य चर्चाएँ और जनमत

  • मीडिया कवरेज की उम्मीद

    • Wired, Ars Technica, 404 Media जैसे टेक मीडिया द्वारा कवरेज की ज़रूरत का ज़िक्र हुआ
    • कई लोगों ने कहा कि “यह इतना बड़ा मामला है कि मीडिया को इसे उठाना चाहिए”

  • व्यंग्य और आलोचना

    • “क्या Fiverr ने अपनी security भी Fiverr से ही करवाई?”, “इसे तो जड़ से खत्म कर देना चाहिए (Burn it to the ground)” जैसी तंज़भरी प्रतिक्रियाएँ आईं
    • कुछ ने इसे “AI-first approach के कारण internal processes के टूटने का नतीजा” कहा

  • अन्य उदाहरण

    • एक उपयोगकर्ता ने कहा कि उजागर दस्तावेज़ों में उसे “HOOD NIGGA AFFIRMATIONS” नाम की किताब का draft मिला, और उसकी सामग्री उम्मीद से अधिक सकारात्मक लगी
    • Fiverr द्वारा अधिग्रहित and.co सेवा को बंद करने का ज़िक्र करते हुए कुछ ने इसे “अजीब कंपनी” कहा

समग्र मूल्यांकन

  • Fiverr की public URL उपयोग नीति के कारण ग्राहकों का टैक्स, स्वास्थ्य और अकाउंट संबंधी संवेदनशील डेटा बड़े पैमाने पर उजागर हुआ
  • इसे सुरक्षा रिपोर्ट पर प्रतिक्रिया न देना, देरी से कार्रवाई, और तकनीकी अज्ञानता के संयुक्त परिणाम के रूप में देखा गया
  • कम्युनिटी ने इसे “पूरे उद्योग की सुरक्षा के प्रति सुन्नता को उजागर करने वाली घटना” माना और कड़े नियमन व जवाबदेही की मांग की

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.