Fiverrが顧客ファイルを公開状態のままにし、検索可能だった問題

• FiverrがCloudinary経由でやり取りされたPDF・画像ファイルを署名付きURLなしの公開URLで提供していたため、Google検索で数百件の顧客文書が露出
• 露出した資料には税務申告書(Form 1040)、社会保障番号(SSN)、APIトークン、健康関連文書などの機密情報が含まれていた
• Fiverrは通報を40日前に受けていたにもかかわらず応答がなく、その後になってようやく「2回目の通報」だとして対応を開始
• コミュニティはこれを技術的無知と構造的なセキュリティ欠陥とみなし、ISO 27001認証があっても実質的な保護が欠如していると批判
• 今回の件は業界全体のセキュリティ認識不足と責任回避の問題を示した事例と評価されている

Fiverr顧客ファイルが公開状態で露出した事例

• FiverrがCloudinaryを通じて顧客と作業者の間でやり取りするPDF・画像ファイルを処理する際、署名付き(expiring) URLではなく公開URLを使用していたことが明らかになった
  • CloudinaryはAmazon S3のようにWebクライアントへ直接アセットを配信し、署名付きURL機能をサポートしているが、Fiverrはこれを使っていなかった
  • 一部のファイルは公開HTMLページからリンクされており、Google検索結果に数百件が露出した
  • 検索例としてはsite:fiverr-res.cloudinary.com form 1040などがあり、個人識別情報(PII) を含む文書が多数確認された
  • セキュリティ窓口メール(security@fiverr.com)に40日前に通報したが応答がなく、CVE/CERTの処理対象ではないため公開へ切り替えた

主な露出事例と被害範囲

• 税務申告書と機密文書の露出

  • Google検索を通じて税務申告書(Form 1040) を含む個人文書にそのままアクセス可能だった
  • 非営利団体の内部報告書、児童治療関連文書、翻訳依頼資料など、非営利機関や社会的弱者の機微データも含まれていた
  • 一部ユーザーは「事業継続が不可能になるほどの信頼崩壊」と表現した

• 法的・規制違反の可能性

  • Fiverrは「form 1234 filing」など税務関連キーワードでGoogle広告を購入していた一方でセキュリティが不十分であり、GLBA/FTC Safeguards Rule違反の可能性がある
  • 一部コメントではFTCへの通報の必要性が言及された

• 露出したデータの種類

  • 社会保障番号(SSN)、税務書類、APIトークン、ペネトレーションテスト報告書、管理者アカウント情報などが含まれていた
  • 一部ファイルには健康関連情報まで含まれていた
  • Fiverrの販売者がアップロードした有料PDF教材も無料で検索結果に露出していた

コミュニティの反応と後続対応の議論

• セキュリティ対応不在への批判

  • 「5時間たっても何の措置もない」「手動でも機密ファイルを下ろすべきだ」といった指摘が多数あった
  • 一部では「単なる不注意ではなく、技術理解不足による構造的問題」と評価された
  • FiverrのISO 27001認証やAWSのセキュリティ認証に言及がある一方、実際のアップロードファイルはCloudinaryに保存されていた

• Fiverrの返信メール

  • Fiverrは「この件については2回目の通報であり、40日前の通報記録はない」と返信した
  • 通報者は送信記録を公開し、「署名付きURLを使わないという判断自体がセキュリティ失敗」と反論した
  • Fiverrの顧客サポート体制がチケットループにはまり、実質的な対応が不可能だという体験談も多数あった

• 外部機関およびプラットフォーム関連の言及

  • Fiverrの.well-known/security.txtにはBugCrowdと連携したバグバウンティプログラムの案内があるが、実際の対応は不十分だった
  • Cloudinary側のバグバウンティ対象に含まれるか議論されたが、クライアントサイトの構造上、即時対応は不可能とみなされた
  • 過去に同様の問題でDMCA要請が提出されていた記録がLumen Databaseで確認された

技術的原因と構造的問題

• Googleのインデックス経路

  • GoogleはURLを無作為にインデックスするわけではなく、リンクやサイトマップ経由で到達可能なファイルだけをインデックスする
  • Fiverrが公開HTMLページやサイトマップからCloudinaryファイルを参照していたと推定される
  • 一部ユーザーは「robots.txtの設定や認証経路を追加すべきだ」と提案した

• セキュリティ認識不足

  • コメントの多くで「セキュリティの概念そのものを知らない開発者が多い」という業界全体の問題が指摘された
  • 「直接オブジェクトアクセス(Direct Object Access)」や「robots.txt」「sitemap」の概念すら知らない事例が言及された
  • 安価な外注人材中心の開発体制がセキュリティ品質の低下につながっているという指摘もあった

その他の議論と世論

• 報道への期待

  • Wired、Ars Technica、404 Mediaなど技術メディアによる取材の必要性が言及された
  • 「このレベルならメディアが扱うべきだ」という意見が多数あった

• 風刺と批判

  • 「FiverrはセキュリティまでFiverrに任せたのか」「これはもう全部焼き払うべきだ(Burn it to the ground)」など嘲笑を交えた反応があった
  • 一部では「AI-firstアプローチによって内部プロセスが崩壊した結果だ」という批判も出た

• その他の事例

  • あるユーザーは露出した文書の中に「HOOD NIGGA AFFIRMATIONS」という本の草稿を見つけたと述べ、内容は意外にも前向きだったと評価した
  • Fiverrが買収していたand.coサービスを終了させた点に触れ、「変な会社だ」という評もあった

総合評価

• Fiverrの公開URL利用方針により、顧客の税務・健康・アカウント情報などの機密データが大規模に露出した
• セキュリティ通報への無応答、遅れた対応、技術的無知が複合的に作用した事例と評価される
• コミュニティはこれを「業界全体のセキュリティ鈍感さを示す事件」と捉え、強い規制と責任追及の必要性を強調している