A plataforma de serviços freelance Fiverr enfrenta um incidente significativo de privacidade após pesquisadores descobrirem que arquivos confidenciais de clientes estão acessíveis publicamente e indexados pelo Google. Uma configuração insegura de hospedagem de arquivos expôs informações pessoais identificáveis (PII), incluindo formulários fiscais concluídos, trocados entre freelancers e clientes.
A falha de configuração do Cloudinary
A raiz da exposição de dados reside na maneira como a Fiverr gerencia o compartilhamento de arquivos dentro de seu sistema de mensagens interno. A plataforma depende de um serviço de terceiros chamado Cloudinary para processar e hospedar imagens e documentos PDF, incluindo produtos finais entregues aos clientes.
Embora o Cloudinary opere de forma semelhante a um bucket de armazenamento digital Amazon S3 e suporte links web seguros e expiráveis, a Fiverr relatou ter configurado o serviço incorretamente. Em vez de exigir autenticação, a Fiverr optou por gerar URLs totalmente públicas para esses anexos sensíveis. Como esses arquivos foram deixados abertos ao público, mecanismos de busca como o Google puderam rastrear e indexá-los.
Isso sugere que os links de arquivos públicos podem ter sido expostos através de páginas HTML desprotegidas em algum lugar da rede da Fiverr. A falha técnica envolve a ausência de controles de acesso adequados nos buckets de armazenamento, permitindo que qualquer pessoa com o link direto acesse os dados sem necessidade de login ou verificação de identidade.
Exposição de PII e documentos fiscais
O impacto dessa falha é severo, pois qualquer pessoa pode supostamente usar consultas de pesquisa específicas do Google para revelar documentos privados. Por exemplo, executar uma pesquisa específica do site para "form 1040" no domínio Cloudinary da Fiverr revela instantaneamente documentos fiscais privados contendo dados financeiros e pessoais altamente sensíveis.
A exposição de formulários fiscais como o 1040 representa um risco crítico de roubo de identidade e fraude financeira. Esses documentos contêm informações como números de seguro social, endereços residenciais, rendimentos e detalhes bancários, que são alvos valiosos para criminosos cibernéticos. A indexação pelo Google torna esses dados facilmente encontráveis por qualquer pessoa que saiba a consulta correta, eliminando a barreira de acesso que a plataforma deveria fornecer.
Riscos regulatórios e conformidade
Essa exposição levanta preocupações regulatórias imediatas. Ao não bloquear adequadamente os documentos financeiros, a plataforma e seus freelancers de preparação de impostos podem estar em violação direta da Regra de Salvaguardas da FTC e da Lei Gramm-Leach-Bliley (GLBA), que exigem proteções rigorosas para dados financeiros do consumidor.
No contexto brasileiro, a situação também aciona alertas sobre a Lei Geral de Proteção de Dados (LGPD). Embora a Fiverr seja uma empresa global, o tratamento de dados de cidadãos brasileiros sob sua plataforma deve seguir os princípios de segurança e privacidade estabelecidos pela legislação local. A falha de configuração pode ser interpretada como uma violação do dever de segurança da informação, sujeitando a empresa a sanções administrativas e multas caso haja comprovação de impacto sobre titulares de dados no Brasil.
A contradição destacada pelo pesquisador é particularmente preocupante: a Fiverr ativamente compra anúncios no Google para serviços de preparação de impostos, mas falha em proteger os produtos financeiros resultantes. Isso sugere uma desconexão entre as práticas de marketing e as medidas de segurança implementadas, o que pode ser visto como negligência por parte da governança de segurança da informação.
Resposta da empresa e disclosure responsável
O pesquisador que descobriu o problema afirma ter seguido os protocolos padrão de disclosure responsável. Um relatório detalhado de vulnerabilidade foi enviado à equipe de segurança designada da Fiverr 40 dias antes da divulgação pública. Após não receber resposta ou esforços de remediação da empresa, o pesquisador optou por publicar as descobertas no Hacker News para alertar os usuários afetados.
Essa timeline de 40 dias é um exemplo de como o processo de disclosure responsável pode falhar quando a resposta do fabricante é lenta ou inexistente. Para as organizações, isso reforça a necessidade de ter canais de comunicação de segurança claros e equipes de resposta a incidentes ágeis para lidar com relatórios de vulnerabilidades antes que se tornem públicos.
Mitigações para usuários e CISOs
Até que a Fiverr resolva essa exposição pública, os usuários estão em risco de roubo de identidade e fraude financeira. Tanto freelancers quanto clientes devem tomar precauções imediatas:
- Interromper transferências sensíveis: Os usuários devem temporariamente parar de enviar documentos sensíveis, como formulários fiscais ou registros médicos, através do sistema de mensagens da Fiverr.
- Implementar URLs assinadas: A Fiverr deve atualizar urgentemente sua integração com o Cloudinary para utilizar URLs assinadas e com tempo limitado para todas as transferências de arquivos entre usuários, garantindo que os arquivos expirem após serem baixados.
- Solicitar desindexação de pesquisa: A empresa precisa emitir solicitações urgentes de remoção ao Google para remover os diretórios de domínio expostos dos resultados de pesquisa públicos.
- Monitorar roubo de identidade: Clientes que compraram serviços de preparação de impostos ou financeiros na Fiverr devem monitorar seus relatórios de crédito para atividades não autorizadas.
Implicações para a cadeia de suprimentos de SaaS
Este incidente serve como um lembrete crítico sobre os riscos associados ao uso de serviços de terceiros na cadeia de suprimentos de software. A dependência de provedores de armazenamento em nuvem como o Cloudinary introduz uma superfície de ataque expandida que deve ser gerenciada através de due diligence contínua e monitoramento de configurações.
Para os CISOs, é essencial revisar as integrações de terceiros e garantir que os controles de segurança sejam aplicados não apenas na aplicação principal, mas também nos serviços de suporte que manipulam dados sensíveis. A configuração de buckets de armazenamento em nuvem deve ser auditada regularmente para garantir que não haja exposição pública acidental.
Perguntas frequentes
Como saber se meus dados foram expostos na Fiverr?
Os usuários podem tentar pesquisar no Google por termos específicos relacionados a seus documentos, como "site:fiverr.com form 1040". Se documentos aparecerem, eles devem entrar em contato com a Fiverr imediatamente e monitorar suas contas financeiras.
A Fiverr deve ser responsabilizada pela falha?
Sim, a responsabilidade recai sobre a plataforma por não implementar controles de segurança adequados para dados sensíveis. Reguladores podem investigar a conformidade com leis de proteção de dados e segurança financeira.
Quais medidas técnicas previnem esse tipo de vazamento?
O uso de URLs assinadas, autenticação obrigatória para acesso a arquivos e auditorias regulares de configurações de armazenamento em nuvem são medidas técnicas essenciais para prevenir exposições públicas de dados.