# Fiverr가 고객 파일을 공개 상태로 두어 검색 가능했던 문제 > Clean Markdown view of GeekNews topic #28547. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28547](https://news.hada.io/topic?id=28547) - GeekNews Markdown: [https://news.hada.io/topic/28547.md](https://news.hada.io/topic/28547.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-04-15T13:32:41+09:00 - Updated: 2026-04-15T13:32:41+09:00 - Original source: [news.ycombinator.com](https://news.ycombinator.com/item?id=47769796) - Points: 1 - Comments: 0 ## Topic Body - Fiverr가 Cloudinary를 통해 주고받은 **PDF·이미지 파일을 서명 URL 없이 공개 URL로 제공**해, Google 검색에서 수백 건의 고객 문서가 노출됨 - 노출된 자료에는 **세금 신고서(Form 1040)**, **사회보장번호(SSN)**, **API 토큰**, **건강 관련 문서** 등 민감 정보가 포함됨 - Fiverr는 제보를 **40일 전 받았음에도 응답이 없었고**, 이후에야 “두 번째 제보”라며 대응을 시작함 - 커뮤니티는 이를 **기술적 무지와 구조적 보안 결함**으로 보고, ISO 27001 인증에도 불구하고 실질적 보호가 부재하다고 비판함 - 이번 사건은 **산업 전반의 보안 인식 부족과 책임 회피 문제**를 드러낸 사례로 평가됨 --- ### Fiverr 고객 파일이 공개 상태로 노출된 사례 - Fiverr가 **Cloudinary**를 통해 고객과 작업자 간 주고받는 PDF·이미지 파일을 처리하면서, **서명된(expiring) URL 대신 공개 URL**을 사용한 것으로 드러남 - Cloudinary는 Amazon S3처럼 웹 클라이언트에 직접 자산을 제공하며, 서명 URL 기능을 지원하지만 Fiverr는 이를 사용하지 않음 - 일부 파일은 **공개 HTML 페이지에서 링크**되어 있어 Google 검색 결과에 수백 건이 노출됨 - 검색 예시로는 `site:fiverr-res.cloudinary.com form 1040` 등이 있으며, **개인식별정보(PII)** 가 포함된 문서 다수 확인됨 - 보안 담당 이메일(security@fiverr.com)에 **40일 전 제보했으나 응답이 없었고**, CVE/CERT 처리 대상이 아니라 공개로 전환함 ### 주요 노출 사례와 피해 범위 - ## 세금 신고서 및 민감 문서 노출 - Google 검색을 통해 **세금 신고서(Form 1040)** 를 포함한 개인 문서가 그대로 접근 가능 - 비영리단체의 내부 보고서, 아동 치료 관련 문서, 번역 요청 자료 등 **비영리 기관과 사회적 약자의 민감 데이터**도 포함 - 일부 사용자는 “**사업 존속이 불가능할 정도의 신뢰 붕괴**”라고 표현 - ## 법적·규제 위반 가능성 - Fiverr가 “form 1234 filing” 등 세무 관련 키워드로 **Google 광고를 구매**하면서도 보안이 미흡해, **GLBA/FTC Safeguards Rule** 위반 소지가 있음 - 일부 댓글에서는 **FTC 제보 필요성**이 언급됨 - ## 노출된 데이터 유형 - **사회보장번호(SSN)**, **세금 서류**, **API 토큰**, **침투 테스트 보고서**, **관리자 계정 정보** 등이 포함 - 일부 파일에는 **건강 관련 정보**까지 포함되어 있음 - Fiverr 판매자들이 올린 **유료 PDF 강의 자료**도 무료로 검색 결과에 노출됨 ### 커뮤니티 반응 및 후속 조치 논의 - ## 보안 대응 부재 비판 - “5시간이 지나도 아무 조치가 없다”, “수동으로라도 민감 파일을 내려야 한다”는 지적 다수 - 일부는 “**단순 부주의가 아니라 기술 이해 부족**으로 인한 구조적 문제”라고 평가 - Fiverr의 ISO 27001 인증과 AWS 보안 인증이 언급되지만, **실제 업로드 파일은 Cloudinary에 저장**되어 있음 - ## Fiverr의 대응 이메일 - Fiverr는 “이 사안을 두 번째로 제보받았으며, 40일 전 제보 기록은 없다”고 회신 - 제보자는 송신 기록을 공개하며, “**서명 URL을 사용하지 않은 결정 자체가 보안 실패**”라고 반박 - Fiverr의 고객 지원 체계가 **티켓 루프에 갇혀 실질적 대응이 불가능**하다는 경험담 다수 - ## 외부 기관 및 플랫폼 관련 언급 - Fiverr의 `.well-known/security.txt`에는 **BugCrowd 협력 버그바운티 프로그램** 안내가 있으나, 실제 대응은 미비 - Cloudinary 측 버그바운티 범위에 포함될 수 있는지 논의되었으나, **클라이언트 사이트 구조상 즉각적 조치 불가**로 평가 - 과거 동일 문제로 **DMCA 요청**이 접수된 기록이 Lumen Database에서 확인됨 ### 기술적 원인과 구조적 문제 - ## Google 인덱싱 경로 - Google은 무작위로 URL을 색인하지 않으며, **링크나 사이트맵을 통해 접근 가능한 파일만 색인** - Fiverr가 **공개 HTML 페이지나 사이트맵에서 Cloudinary 파일을 참조**한 것으로 추정됨 - 일부 사용자는 “robots.txt 설정이나 인증 경로를 추가해야 한다”고 제안 - ## 보안 인식 부족 - 댓글 다수에서 “**보안 개념 자체를 모르는 개발자**가 많다”는 업계 전반의 문제 지적 - “직접 객체 접근(Direct Object Access)”이나 “robots.txt”, “sitemap” 개념조차 모르는 사례가 언급됨 - 값싼 외주 인력 중심의 개발 구조가 **보안 품질 저하**로 이어진다는 지적 ### 기타 논의 및 여론 - ## 언론 보도 기대 - Wired, Ars Technica, 404 Media 등 **기술 매체의 취재 필요성**이 언급됨 - “이 정도면 언론이 다룰 만한 수준”이라는 의견 다수 - ## 풍자 및 비판 - “Fiverr가 보안도 Fiverr에서 맡겼나”, “이건 그냥 불태워야 한다(Burn it to the ground)” 등 **조롱 섞인 반응** - 일부는 “AI-first 접근으로 내부 프로세스가 붕괴된 결과”라는 비판 제기 - ## 기타 사례 - 한 사용자는 노출된 문서 중 “**HOOD NIGGA AFFIRMATIONS**”라는 책 초안을 발견했다고 언급하며, 내용이 의외로 긍정적이라고 평가 - Fiverr가 인수했던 **and.co** 서비스를 중단한 점을 언급하며, “이상한 회사”라는 평도 존재 ### 종합 평가 - Fiverr의 **공개 URL 사용 정책**으로 인해 고객의 **세금·건강·계정 정보 등 민감 데이터가 대규모로 노출**됨 - **보안 제보 무응답**, **지연된 대응**, **기술적 무지**가 복합적으로 작용한 사례로 평가됨 - 커뮤니티는 이를 “**산업 전반의 보안 무감각을 드러낸 사건**”으로 인식하며, 강력한 규제와 책임 추궁 필요성을 강조함 ## Comments _No public comments on this page._