2026-04-16 06:11:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 全球最大零工平台Fiverr因Cloudinary云存储配置错误导致超3万个用户文件泄露，包含纳税表单、身份证明等敏感信息。安全研究员报告40天未获回应，事件暴露云存储公共URL访问权限过宽的系统性风险。建议企业启用URL签名、设置访问过期时间、定期审计云存储配置并禁止搜索引擎抓取敏感文件。 综合评分： 87 文章分类： 数据泄露,云安全,安全建设,应急响应,漏洞预警

cover_image

【安全圈】全球最大零工平台Fiverr被曝数据泄露

安全圈

2026年4月16日 00:45 江苏

在小说阅读器读本章

去阅读

关键词

数据泄露

国外知名零工平台Fiverr因Cloudinary配置不当，超3万个用户文件暴露在公网，包括纳税表单等敏感信息。安全研究员报告40天无回复，最终问题被公开。

事件概述

近日，全球最大零工平台之一 Fiverr 被安全研究员曝光严重数据泄露：

泄露数量：谷歌搜索抓取超过 30,000+ 个URL
文件类型：主要是PDF文件（接单者提交的工作成果）
敏感信息：包含个人纳税表单、身份证明等隐私文件
响应情况：漏洞报告 40天无回复，最终被公开

泄露原因：Cloudinary配置”裸奔”

问题出在Fiverr使用的云存储服务 Cloudinary：

接单者需要向客户提交工作成果（PDF/图片），Fiverr将这些文件存储在Cloudinary并生成链接。但由于选择使用”公共URL”，任何拿到链接的人都可以直接查看文件，无需任何认证。

影响范围有多大？

通过简单的谷歌搜索命令即可获取泄露文件：

site:fiverr-res.cloudinary.com

安全研究员发现的泄露文件包括：

📄 工作成果PDF（可能含客户商业机密）
🧾 纳税表单（包含个人身份信息）
🆔 身份证明文件
💳 其他敏感个人文件

问题本质：这不仅是”漏洞”，更是系统性的配置错误。

企业为何忽视？

为什么Fiverr迟迟不修复？可能原因：

非传统漏洞：不符合CVE/CERT处理流程，难以定性
责任推诿：认为是Cloudinary的责任
业务优先：修复可能影响用户体验和业务流程
隐蔽性强：没有明显攻击痕迹，难以被发现

但安全研究员不这么看：40天不回复 = 默认忽视。

云存储安全的警示

💡 不仅是Fiverr，这是所有使用云存储的企业的通病。

常见云存储配置错误

正确配置检查清单

✅ 启用URL签名和过期时间
✅ 最小权限原则（IAM）
✅ 定期审计访问日志
✅ 敏感文件加密存储
✅ 禁止搜索引擎抓取（robots.txt）

对国内企业的启示

国内零工平台/外包平台类似问题同样存在：

🔍 你以为的”私域文件”可能早已被搜索引擎收录
📁 云存储桶配置错误是常见泄露原因
⏰ 漏洞响应速度 = 安全成熟度

建议：

检查所有云存储URL是否是公共访问
审计历史文件是否有异常访问
建立云存储安全检查机制

END

阅读推荐

【安全圈】Adobe 修复 PDF 阅读器零日漏洞，已被黑客利用至少四个月

【安全圈】微软 SharePoint Server 0Day漏洞遭在野利用

【安全圈】假冒 Ledger Live 应用致 950 万美元加密货币被盗，受害者损失惨重

【安全圈】金山毒霸、360 安全卫士被曝存在内核驱动高危漏洞

【安全圈】开源监控平台 Grafana 曝漏洞，黑客可诱导 AI 助手泄露企业数据

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】全球最大零工平台Fiverr被曝数据泄露》