Fiverr、顧客ファイルを公開状態のまま放置——Google検索で丸見えに

記事の概要

• Fiverr が顧客ファイル（確定申告書、SSN（社会保障番号）、APIトークン、PDFなど）をGoogle検索でヒットする状態で公開していた
• 脆弱性は約40日前に報告済みだったが無回答のまま。開示後も数時間ファイルにアクセス可能だった
• ペネトレーションテスト（侵入テスト）レポート、機密文書、セラーのデジタル納品物が含まれる

ディスカッション

• コメント欄では Form 1040（米国の個人所得税申告書）、SSN、APIトークン、侵入テスト報告書が検索で見つかったと複数人が確認
• Fiverr はフォーラムに投稿した注意喚起を「コミュニティルール違反」として削除
• Fiverr のセキュリティチームは「事前連絡はなかった」と主張——報告者の40日前の届け出と真っ向から矛盾する
• 規制当局による介入、法的責任の追及、静的アセットの即時非公開化を求める声が相次ぐ

HNで議論を読む

原文（英語）: Tell HN: Fiverr left customer files public and searchable