文章总结： Fiverr因Cloudinary配置错误泄露用户敏感文件并被谷歌索引。平台未使用需认证或有时限的链接，导致税务表格等个人身份信息可通过公开搜索访问，涉嫌违反FTC保障规则及GLBA法案。建议用户立即停止通过该平台传输敏感数据并监控信用报告以防身份盗窃，平台方则应紧急实施签名URL机制并请求谷歌移除相关索引目录。 综合评分： 82 文章分类： 数据泄露,漏洞分析,数据安全

研究人员称，Fiverr 涉嫌向谷歌索引泄露用户信息

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月18日 19:24 北京

在小说阅读器读本章

去阅读

自由职业服务平台 Fiverr 面临重大隐私事件，研究人员发现敏感的客户文件可以公开访问，并被谷歌搜索收录。

根据 Hacker News 上最近的披露，不安全的文件托管配置泄露了自由职业者和客户之间交换的个人身份信息 (PII)，包括已填写的税务表格。

Cloudinary配置错误

数据泄露的根源在于 Fiverr 在其内部消息系统中处理文件共享的方式。

该平台依赖于名为 Cloudinary 的第三方服务来处理和托管图像和 PDF 文档，包括交付给客户的最终工作成果。

虽然 Cloudinary 的运行方式与Amazon S3 数字存储桶类似，并支持安全、过期的网络链接，但据报道 Fiverr 对该服务的配置有误。

Fiverr 没有要求用户进行身份验证，而是选择为这些敏感附件生成完全公开的 URL。由于这些文件是公开的，因此像 Google 这样的搜索引擎能够抓取并索引它们。

这表明，公共文件链接可能通过 Fiverr 网络上的某些未受保护的 HTML 页面暴露出来。

这一疏忽的影响十分严重，因为任何人都可以使用特定的谷歌搜索查询来查找私人文件。

例如，在 Fiverr 的 Cloudinary 域名上进行“表格 1040”的特定网站搜索，即可立即显示包含高度敏感的财务和个人数据的私人税务文件。

有趣的是，研究人员指出了一个令人担忧的矛盾之处。Fiverr积极购买谷歌广告来推广报税服务，但该平台却未能保障最终的财务成果安全。

此次泄露事件立即引发了监管方面的担忧。由于未能妥善保管财务文件，该平台及其税务筹划自由职业者可能直接违反了联邦贸易委员会的《保障规则》和《格雷姆-里奇-比利雷法案》（GLBA），这两项法规均对消费者财务数据提供严格保护。

发现该问题的研究人员声称遵循了标准的负责任披露协议。一份详细的漏洞报告已在公开发布前40天发送给了Fiverr指定的安全团队。

在未收到该公司的任何回应或补救措施后，研究人员选择在 Hacker News 上发布调查结果，以警告受影响的用户。

关键要点和应对措施

在Fiverr解决此次公开曝光事件之前，用户面临身份盗窃和金融诈骗的风险。自由职业者和客户都应立即采取预防措施：

• 停止敏感文件传输： 用户应暂时停止通过 Fiverr 的消息系统发送敏感文件，例如税务表格或医疗记录。
• 实施签名 URL：  Fiverr 必须紧急更新其 Cloudinary 集成，以对所有用户之间的文件传输使用签名、有时限的 URL，以确保文件在下载后过期。
• 请求取消搜索索引： 该公司需要向谷歌发出紧急下架请求，要求其从公共搜索结果中删除暴露的域名目录。
• 警惕身份盗窃： 在 Fiverr 上购买财务或税务筹划服务的客户应密切关注其信用报告，以防未经授权的活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《研究人员称，Fiverr 涉嫌向谷歌索引泄露用户信息》