事件概述 - 自由职业服务平台Fiverr否认了关于其泄露敏感数据的媒体报道[1] - 公司通过回复Cybernews在X平台上的帖子进行了否认[2] 数据泄露指控详情 - 网络安全媒体Cybernews报道，一位匿名安全研究员声称，一个很可能属于Fiverr的公开Cloudinary存储实例正在泄露用户敏感文件[2] - 据称泄露的文件包括用户发票、报税表、驾照、凭证和其他敏感文档[2] - Cybernews确认许多文件已被谷歌索引，搜索结果返回了包含个人身份信息的敏感数据[4] - Hacker News论坛上的用户分享了此类文件的链接[4] 技术漏洞分析 - 报告指出，Fiverr在客户与工作者之间的通信中使用公开URL，而非Cloudinary平台支持的安全签名/过期URL[3] - 网络安全研究员指出，由于链接可公开访问和索引，这是一个重大的安全失误，大量资源已被谷歌索引[5] - 据称暴露的文件包括个人身份文件、敏感合同、密码、共享给承包商的API密钥、已完成和进行中的交付成果[5] - 报告补充，虽然单个文件被暴露并可公开访问，但列出它们需要账户的API密钥，因此事件影响仅限于搜索引擎已索引的内容[5] 公司回应 - Fiverr在回应中明确表示“这不是一起网络事件”，并称公司不会主动暴露用户的私人信息[6] - 公司解释，相关内容是用户在平台正常活动过程中，根据买卖双方协议和批准，为展示工作样本而分享的[6] - 公司强调，此类内容在上传前需获得买家同意，且任何删除内容的请求都会得到团队及时处理[6]