Fiverr membiarkan file pelanggan tetap terbuka dan dapat dicari

• Fiverr diketahui menyediakan file PDF dan gambar yang dipertukarkan melalui Cloudinary dengan URL publik tanpa tanda tangan, sehingga ratusan dokumen pelanggan terekspos di hasil pencarian Google
• Materi yang terekspos mencakup informasi sensitif seperti laporan pajak (Form 1040), nomor Social Security (SSN), token API, dan dokumen terkait kesehatan
• Fiverr menerima laporan ini 40 hari sebelumnya tetapi tidak merespons, dan baru mulai menindaklanjuti setelah menyebutnya sebagai “laporan kedua”
• Komunitas menilai ini sebagai ketidaktahuan teknis dan cacat keamanan yang bersifat struktural, serta mengkritik bahwa perlindungan nyata tidak ada meski memiliki sertifikasi ISO 27001
• Insiden ini dinilai menunjukkan rendahnya kesadaran keamanan dan penghindaran tanggung jawab di tingkat industri

Kasus file pelanggan Fiverr terekspos secara publik

• Fiverr terungkap memproses file PDF dan gambar yang dipertukarkan antara pelanggan dan pekerja melalui Cloudinary dengan memakai URL publik alih-alih URL bertanda tangan yang memiliki masa berlaku
  • Cloudinary, seperti Amazon S3, menyajikan aset langsung ke klien web dan mendukung fitur signed URL, tetapi Fiverr tidak menggunakannya
  • Sebagian file ditautkan dari halaman HTML publik, sehingga ratusan di antaranya muncul di hasil pencarian Google
  • Contoh pencarian seperti site:fiverr-res.cloudinary.com form 1040 menunjukkan banyak dokumen yang memuat informasi identitas pribadi (PII)
  • Laporan telah dikirim ke email keamanan (security@fiverr.com) 40 hari sebelumnya tanpa respons, lalu diungkap ke publik karena tidak termasuk penanganan CVE/CERT

Contoh paparan utama dan cakupan dampak

• Paparan laporan pajak dan dokumen sensitif

  • Melalui pencarian Google, dokumen pribadi termasuk laporan pajak (Form 1040) dapat diakses apa adanya
  • Juga termasuk laporan internal organisasi nirlaba, dokumen terkait terapi anak, dan materi permintaan terjemahan, yaitu data sensitif milik lembaga nirlaba dan kelompok rentan secara sosial
  • Sejumlah pengguna menyebut ini sebagai “keruntuhan kepercayaan yang bisa membuat bisnis tak dapat bertahan”

• Potensi pelanggaran hukum dan regulasi

  • Fiverr membeli iklan Google untuk kata kunci perpajakan seperti “form 1234 filing”, namun keamanannya lemah, sehingga berpotensi melanggar GLBA/FTC Safeguards Rule
  • Beberapa komentar menyebut perlunya pelaporan ke FTC

• Jenis data yang terekspos

  • Termasuk nomor Social Security (SSN), dokumen pajak, token API, laporan penetration test, dan informasi akun admin
  • Beberapa file bahkan memuat informasi terkait kesehatan
  • Materi kursus PDF berbayar yang diunggah penjual Fiverr juga muncul gratis di hasil pencarian

Reaksi komunitas dan pembahasan tindak lanjut

• Kritik atas tidak adanya respons keamanan

  • Banyak yang menyoroti bahwa “bahkan setelah 5 jam tidak ada tindakan”, dan bahwa file sensitif seharusnya diturunkan meski secara manual
  • Sebagian menilai ini “bukan sekadar kelalaian, melainkan masalah struktural akibat kurangnya pemahaman teknis”
  • Sertifikasi ISO 27001 Fiverr dan sertifikasi keamanan AWS sempat disebut, tetapi file unggahan sebenarnya disimpan di Cloudinary

• Email tanggapan dari Fiverr

  • Fiverr membalas bahwa “masalah ini baru dilaporkan untuk kedua kalinya, dan tidak ada catatan laporan 40 hari lalu”
  • Pelapor mempublikasikan riwayat pengiriman dan membantah bahwa “keputusan untuk tidak memakai signed URL itu sendiri adalah kegagalan keamanan”
  • Ada banyak pengalaman yang menyebut sistem dukungan pelanggan Fiverr terjebak dalam loop tiket sehingga respons nyata hampir mustahil

• Penyebutan lembaga eksternal dan platform terkait

  • Dalam .well-known/security.txt, Fiverr mencantumkan program bug bounty bersama BugCrowd, tetapi respons nyatanya dinilai minim
  • Ada diskusi apakah ini masuk cakupan bug bounty pihak Cloudinary, namun dinilai tidak bisa segera diperbaiki dari sisi struktur situs klien
  • Catatan permintaan DMCA terkait masalah serupa di masa lalu juga ditemukan di Lumen Database

Penyebab teknis dan masalah struktural

• Jalur pengindeksan Google

  • Google tidak mengindeks URL secara acak; hanya file yang dapat diakses melalui tautan atau sitemap yang akan diindeks
  • Diduga Fiverr mereferensikan file Cloudinary dari halaman HTML publik atau sitemap
  • Sebagian pengguna menyarankan penambahan pengaturan robots.txt atau jalur autentikasi

• Rendahnya kesadaran keamanan

  • Banyak komentar menyoroti masalah industri yang lebih luas, yaitu banyaknya “pengembang yang bahkan tidak memahami konsep keamanan dasar”
  • Disebut pula contoh ketidaktahuan terhadap konsep seperti “Direct Object Access”, “robots.txt”, dan “sitemap”
  • Struktur pengembangan yang berpusat pada tenaga outsourcing murah juga dikritik karena menurunkan kualitas keamanan

Diskusi lain dan opini publik

• Harapan akan liputan media

  • Disebut perlunya liputan dari media teknologi seperti Wired, Ars Technica, dan 404 Media
  • Banyak yang menilai “ini sudah pada level yang layak diberitakan media”

• Sindiran dan kritik

  • Muncul reaksi bernada sinis seperti “apa Fiverr juga menyerahkan keamanan ke Fiverr” dan “ini sebaiknya dibakar habis saja (Burn it to the ground)”
  • Sebagian juga mengkritik ini sebagai akibat dari pendekatan “AI-first” yang merusak proses internal

• Kasus lain

  • Seorang pengguna menyebut menemukan draf buku berjudul “HOOD NIGGA AFFIRMATIONS” di antara dokumen yang terekspos, dan menilai isinya ternyata cukup positif
  • Ada juga komentar yang menyebut penghentian layanan and.co yang pernah diakuisisi Fiverr, sambil menilai perusahaan itu “aneh”

Penilaian keseluruhan

• Kebijakan Fiverr yang memakai URL publik menyebabkan paparan besar-besaran data sensitif pelanggan, termasuk informasi pajak, kesehatan, dan akun
• Kasus ini dinilai sebagai gabungan dari tidak ditanggapinya laporan keamanan, respons yang terlambat, dan ketidaktahuan teknis
• Komunitas memandangnya sebagai “insiden yang memperlihatkan matinya kepekaan keamanan di tingkat industri” dan menekankan perlunya regulasi yang lebih tegas serta pertanggungjawaban