ปัญหาที่ Fiverr ปล่อยไฟล์ลูกค้าเป็นสาธารณะจนค้นหาเจอได้

 (news.ycombinator.com)
1 คะแนน โดย GN⁺ 15 일 전 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp
  • Fiverr ให้บริการ ไฟล์ PDF·รูปภาพที่ส่งหากันผ่าน Cloudinary ด้วย URL สาธารณะโดยไม่มี signed URL ทำให้เอกสารลูกค้าหลายร้อยรายการถูกเปิดเผยบน Google Search
  • ข้อมูลที่ถูกเปิดเผยมีข้อมูลอ่อนไหว เช่น แบบแสดงรายการภาษี (Form 1040), หมายเลขประกันสังคม (SSN), API token, เอกสารด้านสุขภาพ เป็นต้น
  • แม้ Fiverr จะได้รับ รายงานแจ้งปัญหามาแล้ว 40 วันแต่ไม่ตอบสนอง และเพิ่งเริ่มดำเนินการหลังอ้างว่าเป็น “รายงานครั้งที่สอง”
  • ชุมชนมองว่านี่คือ ความไม่รู้ทางเทคนิคและข้อบกพร่องด้านความปลอดภัยเชิงโครงสร้าง พร้อมวิจารณ์ว่าแม้มีการรับรอง ISO 27001 ก็ยังขาดการปกป้องที่แท้จริง
  • เหตุการณ์นี้ถูกประเมินว่าเป็นตัวอย่างที่สะท้อน การขาดความตระหนักด้านความปลอดภัยและการหลีกเลี่ยงความรับผิดชอบทั้งอุตสาหกรรม

กรณีไฟล์ลูกค้า Fiverr ถูกเปิดเผยแบบสาธารณะ

  • พบว่า Fiverr ใช้ URL สาธารณะแทน signed URL แบบมีวันหมดอายุ ในการจัดการไฟล์ PDF·รูปภาพที่ลูกค้าและผู้ให้บริการส่งหากันผ่าน Cloudinary
    • Cloudinary ให้บริการ asset ไปยังเว็บไคลเอนต์โดยตรงคล้าย Amazon S3 และรองรับฟีเจอร์ signed URL แต่ Fiverr ไม่ได้ใช้งาน
    • บางไฟล์ถูก ลิงก์จากหน้า HTML สาธารณะ ทำให้มีหลายร้อยรายการปรากฏในผลการค้นหาของ Google
    • ตัวอย่างการค้นหาเช่น site:fiverr-res.cloudinary.com form 1040 และพบเอกสารจำนวนมากที่มี ข้อมูลส่วนบุคคลที่ใช้ระบุตัวตนได้ (PII)
    • มีการแจ้งไปยังอีเมลความปลอดภัย (security@fiverr.com) ตั้งแต่ 40 วันก่อนแต่ไม่ได้รับการตอบกลับ และเมื่อไม่เข้าข่ายการดำเนินการแบบ CVE/CERT จึงเปลี่ยนเป็นการเปิดเผยต่อสาธารณะ

กรณีการเปิดเผยสำคัญและขอบเขตความเสียหาย

  • การเปิดเผยแบบแสดงรายการภาษีและเอกสารอ่อนไหว

    • สามารถเข้าถึงเอกสารส่วนตัวรวมถึง แบบแสดงรายการภาษี (Form 1040) ได้โดยตรงผ่าน Google Search
    • ยังรวมถึงรายงานภายในขององค์กรไม่แสวงกำไร เอกสารเกี่ยวกับการบำบัดเด็ก และเอกสารคำขอแปล ซึ่งเป็น ข้อมูลอ่อนไหวขององค์กรไม่แสวงกำไรและกลุ่มเปราะบางทางสังคม
    • ผู้ใช้บางรายถึงกับบอกว่าเป็น “การพังทลายของความเชื่อมั่นจนธุรกิจอาจดำเนินต่อไม่ได้

  • ความเป็นไปได้ในการละเมิดกฎหมายและข้อกำกับดูแล

    • Fiverr ซื้อ โฆษณา Google ด้วยคีย์เวิร์ดด้านภาษีอย่าง “form 1234 filing” แต่กลับมีมาตรการความปลอดภัยไม่เพียงพอ จนอาจเข้าข่ายละเมิด GLBA/FTC Safeguards Rule
    • บางความเห็นระบุว่าควร แจ้งเรื่องต่อ FTC

  • ประเภทข้อมูลที่ถูกเปิดเผย

    • มีทั้ง หมายเลขประกันสังคม (SSN), เอกสารภาษี, API token, รายงาน penetration test, ข้อมูลบัญชีผู้ดูแลระบบ เป็นต้น
    • บางไฟล์มี ข้อมูลด้านสุขภาพ รวมอยู่ด้วย
    • แม้แต่ เอกสารสอนแบบ PDF แบบเสียเงิน ที่ผู้ขายบน Fiverr อัปโหลดไว้ ก็ยังถูกค้นเจอได้ฟรีในผลการค้นหา

ปฏิกิริยาของชุมชนและการหารือเรื่องการติดตามผล

  • เสียงวิจารณ์เรื่องการขาดการตอบสนองด้านความปลอดภัย

    • มีเสียงวิจารณ์จำนวนมาก เช่น “ผ่านไป 5 ชั่วโมงแล้วยังไม่มีอะไรเกิดขึ้น” และ “อย่างน้อยก็ควรดึงไฟล์อ่อนไหวลงด้วยมือก่อน”
    • บางคนประเมินว่าไม่ใช่ “แค่ความประมาท แต่เป็นปัญหาเชิงโครงสร้างจากการขาดความเข้าใจทางเทคนิค
    • แม้จะมีการกล่าวถึงการรับรอง ISO 27001 ของ Fiverr และการรับรองด้านความปลอดภัยของ AWS แต่ ไฟล์ที่อัปโหลดจริงถูกเก็บไว้บน Cloudinary

  • อีเมลตอบกลับจาก Fiverr

    • Fiverr ตอบว่า “ได้รับรายงานเรื่องนี้เป็นครั้งที่สอง” และ ไม่มีบันทึกการแจ้งเมื่อ 40 วันก่อน
    • ผู้แจ้งได้เปิดเผยบันทึกการส่งอีเมล พร้อมโต้แย้งว่า “การตัดสินใจไม่ใช้ signed URL ตั้งแต่แรกคือความล้มเหลวด้านความปลอดภัย
    • มีหลายประสบการณ์ที่เล่าว่าระบบสนับสนุนลูกค้าของ Fiverr ติดอยู่ในลูปของตั๋วซัพพอร์ตจนไม่สามารถแก้ปัญหาได้จริง

  • การกล่าวถึงหน่วยงานภายนอกและแพลตฟอร์มที่เกี่ยวข้อง

    • ใน .well-known/security.txt ของ Fiverr มีข้อมูลเกี่ยวกับ โปรแกรม bug bounty ร่วมกับ BugCrowd แต่การตอบสนองจริงกลับไม่เพียงพอ
    • มีการถกกันว่าเรื่องนี้อาจอยู่ในขอบเขต bug bounty ของ Cloudinary หรือไม่ แต่สุดท้ายประเมินว่า ไม่สามารถแก้ไขได้ทันทีเพราะเป็นโครงสร้างฝั่งเว็บไซต์ลูกค้า
    • พบประวัติการส่งคำขอ DMCA เกี่ยวกับปัญหาเดียวกันใน Lumen Database ด้วย

สาเหตุทางเทคนิคและปัญหาเชิงโครงสร้าง

  • เส้นทางการถูกจัดทำดัชนีโดย Google

    • Google ไม่ได้จัดทำดัชนี URL แบบสุ่ม แต่จะจัดทำดัชนีเฉพาะไฟล์ที่ เข้าถึงได้ผ่านลิงก์หรือ sitemap
    • คาดว่า Fiverr อ้างอิงไฟล์ Cloudinary จากหน้า HTML สาธารณะหรือ sitemap
    • ผู้ใช้บางรายเสนอว่าควรเพิ่มการตั้งค่า “robots.txt” หรือเส้นทางที่ต้องยืนยันตัวตน

  • การขาดความตระหนักด้านความปลอดภัย

    • มีความเห็นจำนวนมากชี้ว่าปัญหาทั้งอุตสาหกรรมคือมี “นักพัฒนาที่ไม่เข้าใจแนวคิดด้านความปลอดภัยตั้งแต่ต้น” อยู่มาก
    • มีการยกตัวอย่างคนที่ไม่รู้แม้แต่แนวคิดอย่าง “การเข้าถึงออบเจ็กต์โดยตรง (Direct Object Access)”, “robots.txt”, หรือ “sitemap”
    • ยังมีข้อวิจารณ์ว่าโครงสร้างการพัฒนาที่พึ่งพาแรงงานเอาต์ซอร์สราคาถูกมากเกินไป ทำให้ คุณภาพด้านความปลอดภัยลดลง

ประเด็นอื่น ๆ และกระแสความเห็น

  • ความคาดหวังต่อการรายงานข่าวของสื่อ

    • มีการพูดถึงความจำเป็นที่ สื่อสายเทคโนโลยี อย่าง Wired, Ars Technica และ 404 Media ควรเข้ามาทำข่าว
    • หลายคนมองว่า “เรื่องระดับนี้ควรเป็นข่าวแล้ว”

  • การเสียดสีและวิจารณ์

    • มีความเห็นเชิงเยาะเย้ยอย่าง “Fiverr จ้าง Fiverr มาดูแลความปลอดภัยหรือเปล่า” และ “นี่มันควรถูกรื้อทิ้งไปทั้งระบบ (Burn it to the ground)”
    • บางส่วนวิจารณ์ว่าเป็นผลจากแนวทาง “AI-first” ที่ทำให้กระบวนการภายในพังลง

  • กรณีอื่น ๆ

    • ผู้ใช้คนหนึ่งเล่าว่าพบร่างหนังสือชื่อ “HOOD NIGGA AFFIRMATIONS” ในเอกสารที่ถูกเปิดเผย และบอกว่าเนื้อหากลับให้แง่บวกเกินคาด
    • ยังมีการพูดถึงการที่ Fiverr ยุติบริการ and.co ซึ่งเคยเข้าซื้อกิจการมา พร้อมมองว่าเป็น “บริษัทที่แปลก”

สรุปภาพรวม

  • จาก นโยบายการใช้ URL สาธารณะ ของ Fiverr ทำให้ ข้อมูลอ่อนไหวของลูกค้า เช่น ภาษี สุขภาพ และข้อมูลบัญชี ถูกเปิดเผยในวงกว้าง
  • เหตุการณ์นี้ถูกมองว่าเป็นกรณีที่เกิดจาก การไม่ตอบรับรายงานด้านความปลอดภัย, การตอบสนองล่าช้า, และ ความไม่รู้ทางเทคนิค ที่ซ้อนทับกัน
  • ชุมชนมองว่านี่คือ “เหตุการณ์ที่สะท้อนภาวะไร้ความตระหนักด้านความปลอดภัยของทั้งอุตสาหกรรม” และย้ำถึงความจำเป็นของการกำกับดูแลที่เข้มงวดและการเอาผิดผู้รับผิดชอบ

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น