Fiverr가 고객 파일을 공개 상태로 두어 검색 가능했던 문제

 (news.ycombinator.com)
1P by GN⁺ 4시간전 | ★ favorite | 댓글과 토론
  • Fiverr가 Cloudinary를 통해 주고받은 PDF·이미지 파일을 서명 URL 없이 공개 URL로 제공해, Google 검색에서 수백 건의 고객 문서가 노출됨
  • 노출된 자료에는 세금 신고서(Form 1040), 사회보장번호(SSN), API 토큰, 건강 관련 문서 등 민감 정보가 포함됨
  • Fiverr는 제보를 40일 전 받았음에도 응답이 없었고, 이후에야 “두 번째 제보”라며 대응을 시작함
  • 커뮤니티는 이를 기술적 무지와 구조적 보안 결함으로 보고, ISO 27001 인증에도 불구하고 실질적 보호가 부재하다고 비판함
  • 이번 사건은 산업 전반의 보안 인식 부족과 책임 회피 문제를 드러낸 사례로 평가됨

Fiverr 고객 파일이 공개 상태로 노출된 사례

  • Fiverr가 Cloudinary를 통해 고객과 작업자 간 주고받는 PDF·이미지 파일을 처리하면서, 서명된(expiring) URL 대신 공개 URL을 사용한 것으로 드러남
    • Cloudinary는 Amazon S3처럼 웹 클라이언트에 직접 자산을 제공하며, 서명 URL 기능을 지원하지만 Fiverr는 이를 사용하지 않음
    • 일부 파일은 공개 HTML 페이지에서 링크되어 있어 Google 검색 결과에 수백 건이 노출됨
    • 검색 예시로는 site:fiverr-res.cloudinary.com form 1040 등이 있으며, 개인식별정보(PII) 가 포함된 문서 다수 확인됨
    • 보안 담당 이메일(security@fiverr.com)에 40일 전 제보했으나 응답이 없었고, CVE/CERT 처리 대상이 아니라 공개로 전환함

주요 노출 사례와 피해 범위

  • 세금 신고서 및 민감 문서 노출

    • Google 검색을 통해 세금 신고서(Form 1040) 를 포함한 개인 문서가 그대로 접근 가능
    • 비영리단체의 내부 보고서, 아동 치료 관련 문서, 번역 요청 자료 등 비영리 기관과 사회적 약자의 민감 데이터도 포함
    • 일부 사용자는 “사업 존속이 불가능할 정도의 신뢰 붕괴”라고 표현

  • 법적·규제 위반 가능성

    • Fiverr가 “form 1234 filing” 등 세무 관련 키워드로 Google 광고를 구매하면서도 보안이 미흡해, GLBA/FTC Safeguards Rule 위반 소지가 있음
    • 일부 댓글에서는 FTC 제보 필요성이 언급됨

  • 노출된 데이터 유형

    • 사회보장번호(SSN), 세금 서류, API 토큰, 침투 테스트 보고서, 관리자 계정 정보 등이 포함
    • 일부 파일에는 건강 관련 정보까지 포함되어 있음
    • Fiverr 판매자들이 올린 유료 PDF 강의 자료도 무료로 검색 결과에 노출됨

커뮤니티 반응 및 후속 조치 논의

  • 보안 대응 부재 비판

    • “5시간이 지나도 아무 조치가 없다”, “수동으로라도 민감 파일을 내려야 한다”는 지적 다수
    • 일부는 “단순 부주의가 아니라 기술 이해 부족으로 인한 구조적 문제”라고 평가
    • Fiverr의 ISO 27001 인증과 AWS 보안 인증이 언급되지만, 실제 업로드 파일은 Cloudinary에 저장되어 있음

  • Fiverr의 대응 이메일

    • Fiverr는 “이 사안을 두 번째로 제보받았으며, 40일 전 제보 기록은 없다”고 회신
    • 제보자는 송신 기록을 공개하며, “서명 URL을 사용하지 않은 결정 자체가 보안 실패”라고 반박
    • Fiverr의 고객 지원 체계가 티켓 루프에 갇혀 실질적 대응이 불가능하다는 경험담 다수

  • 외부 기관 및 플랫폼 관련 언급

    • Fiverr의 .well-known/security.txt에는 BugCrowd 협력 버그바운티 프로그램 안내가 있으나, 실제 대응은 미비
    • Cloudinary 측 버그바운티 범위에 포함될 수 있는지 논의되었으나, 클라이언트 사이트 구조상 즉각적 조치 불가로 평가
    • 과거 동일 문제로 DMCA 요청이 접수된 기록이 Lumen Database에서 확인됨

기술적 원인과 구조적 문제

  • Google 인덱싱 경로

    • Google은 무작위로 URL을 색인하지 않으며, 링크나 사이트맵을 통해 접근 가능한 파일만 색인
    • Fiverr가 공개 HTML 페이지나 사이트맵에서 Cloudinary 파일을 참조한 것으로 추정됨
    • 일부 사용자는 “robots.txt 설정이나 인증 경로를 추가해야 한다”고 제안

  • 보안 인식 부족

    • 댓글 다수에서 “보안 개념 자체를 모르는 개발자가 많다”는 업계 전반의 문제 지적
    • “직접 객체 접근(Direct Object Access)”이나 “robots.txt”, “sitemap” 개념조차 모르는 사례가 언급됨
    • 값싼 외주 인력 중심의 개발 구조가 보안 품질 저하로 이어진다는 지적

기타 논의 및 여론

  • 언론 보도 기대

    • Wired, Ars Technica, 404 Media 등 기술 매체의 취재 필요성이 언급됨
    • “이 정도면 언론이 다룰 만한 수준”이라는 의견 다수

  • 풍자 및 비판

    • “Fiverr가 보안도 Fiverr에서 맡겼나”, “이건 그냥 불태워야 한다(Burn it to the ground)” 등 조롱 섞인 반응
    • 일부는 “AI-first 접근으로 내부 프로세스가 붕괴된 결과”라는 비판 제기

  • 기타 사례

    • 한 사용자는 노출된 문서 중 “HOOD NIGGA AFFIRMATIONS”라는 책 초안을 발견했다고 언급하며, 내용이 의외로 긍정적이라고 평가
    • Fiverr가 인수했던 and.co 서비스를 중단한 점을 언급하며, “이상한 회사”라는 평도 존재

종합 평가

  • Fiverr의 공개 URL 사용 정책으로 인해 고객의 세금·건강·계정 정보 등 민감 데이터가 대규모로 노출
  • 보안 제보 무응답, 지연된 대응, 기술적 무지가 복합적으로 작용한 사례로 평가됨
  • 커뮤니티는 이를 “산업 전반의 보안 무감각을 드러낸 사건”으로 인식하며, 강력한 규제와 책임 추궁 필요성을 강조함

함께 보면 좋은 글 β

긱뉴스에 GeekBadge 기능이 추가되었습니다. 긱배지로 자신을 표현해 보세요.