致 HN：Fiverr 將客戶檔案設為公開且可被搜尋

背景

知名外包平台 Fiverr 近期被揭露存在嚴重的資安漏洞，導致大量用戶的敏感文件在 Google 搜尋引擎中公開可見。該平台利用 Cloudinary 服務處理訊息中的 PDF 與圖片檔案，卻未採用具備時效性的加密連結，而是直接使用公開網址。這項設定錯誤導致包含個人識別資訊（PII）的報稅表單等機密文件被搜尋引擎索引，甚至出現 Fiverr 針對相關關鍵字投放廣告，卻未能妥善保護產出成果的諷刺現象。

社群觀點

在 Hacker News 的討論中，社群對於 Fiverr 的資安疏忽感到極度震驚與憤怒。多位網友指出，洩漏如 1040 報稅表單這類極度敏感的個人資料是非常嚴重的過失，這不僅是技術上的失誤，更可能讓相關從業人員因違反《格蘭姆-雷奇-布萊里法案》（GLBA）或聯邦貿易委員會（FTC）的保障規則而面臨法律風險。討論者普遍認為，這類涉及大量個人隱私的資料竟然能直接被 Google 索引，顯示出該平台在架構設計與風險控管上的失能。

針對通報流程的討論也反映出對該公司管理層的不信任。爆料者提到在通報安全團隊四十天後仍未獲得任何回應，社群成員對此表示，雖然爆料者已遵循該公司官方提供的安全通報路徑，但顯然並未受到重視。有網友對此感到無奈，認為這類漏洞竟然沒有引起更廣泛的輿論關注令人意外，甚至有激進的觀點認為這種對用戶隱私毫無責任感的企業文化應當受到嚴厲的市場制裁。

此外，社群也對 Fiverr 的經營風格提出質疑。有留言提到該公司過去曾收購軟體服務卻又將其棄置，認為這是一家營運邏輯令人費解的公司。整體而言，社群的共識在於這是一場徹頭徹尾的災難，不僅反映了技術實作上的低級錯誤，更揭示了大型平台在面對資安通報時的傲慢與遲鈍。對於依賴該平台進行敏感業務往來的用戶而言，這無疑是一個巨大的警訊。

延伸閱讀

在討論中，網友特別指出了 Fiverr 官方的安全通報規範頁面，其中明確標示了安全聯繫信箱，並提到該公司與 BugCrowd 合作運作漏洞獎勵計畫。然而，從本次事件的處理進度來看，該通報管道的有效性顯然存疑。