Tools / Neuigkeiten / 30.000 Steuererklärungen, Ausweise und Verträge: Fiverrs private Nutzerdateien in der Google-Suche
Presse

30.000 Steuererklärungen, Ausweise und Verträge: Fiverrs private Nutzerdateien in der Google-Suche

· VaultTools

Ein Sicherheitsforscher machte am 16. April 2026 öffentlich, dass Fiverr von Nutzern hochgeladene PDFs bei Cloudinary hinter nicht authentifizierten, unbefristet gültigen URLs speicherte. Steuerformulare, Führerscheine, Gesundheitsakten und Admin-Zugangsdaten wurden von der Google-Suche indexiert. Fiverr wurde 40 Tage zuvor informiert und reagierte nicht. Das Unternehmen bestreitet, dass es sich um einen Cybervorfall handelt.

VaultTools · 21. April 2026

Eine Person tippt auf einem Laptop, auf dessen Bildschirm Codezeilen sichtbar sind, als Sinnbild für Cloud-Speicher-URLs, die von Suchmaschinen indexiert wurden. Foto auf Unsplash

Inhaltsverzeichnis


Was Geschah

Am 16. April 2026 veröffentlichte ein anonymer Sicherheitsforscher unter dem Pseudonym Morpheuskafka Ergebnisse auf Hacker News, wonach private Dokumente, die Nutzer bei Fiverr hochgeladen hatten, über die Google-Suche zugänglich waren. Cybernews und mehrere weitere Medien bestätigten die Befunde noch am selben Tag unabhängig voneinander.

Die Dokumente wurden nicht durch einen Einbruch entwendet. Sie lagen in Fiverrs Cloudinary-Konto, einem Drittanbieter-Dienst, den die Plattform zur Speicherung von PDFs und Bildern nutzt, die zwischen Käufern und Verkäufern ausgetauscht werden. Fiverr konfigurierte diese Dateien hinter nicht authentifizierten, unbefristet gültigen öffentlichen URLs, und die Google-Suche hat sie gecrawlt und indexiert. Eine Abfrage wie site:fiverr-res.cloudinary.com form 1040 lieferte zum Zeitpunkt der Offenlegung Tausende von Treffern.

SecurityOnline und Sentra berichteten, dass mehr als 30.000 private Dokumente offengelegt wurden. Dateien blieben wochenlang nach der ersten privaten Meldung und stundenlang nach Beginn der öffentlichen Berichterstattung erreichbar.

Was Durchsickerte

Zu den offengelegten Dokumenten zählten Steuerformulare wie das Formular 1040 (US-Einkommensteuererklärung für Privatpersonen), Reisepässe, Führerscheine, nationale Personalausweise, private Arbeitsverträge und Lieferobjekte, Rechnungen mit Privatadressen, Gesundheitsakten, Passwörter, API-Schlüssel sowie mindestens ein Satz Administrator-Zugangsdaten.

Cybernews stellte fest, dass einige Dateien Geschäftsvereinbarungen zwischen Unternehmen, unveröffentlichte Design-Arbeiten und persönliche Korrespondenz preisgaben. Sentras Analyse ergab, dass der Umfang regulierte Kategorien wie Steuerinformationen und geschützte Gesundheitsdaten abdeckt, die in den USA der IRS beziehungsweise dem HIPAA unterliegen.

Ein Detail fiel besonders auf. Fiverr schaltete Google Ads auf das Keyword „form 1040 filing”, während die Steuerformulare der eigenen Nutzer bei derselben Suchmaschine öffentlich indexiert waren.

Wie eine Fehlkonfiguration zu einem Öffentlichen Archiv Wurde

Cloudinary unterstützt signierte URLs, ablaufende URLs und Zugriffskontrollregeln. Fiverr wählte für die betreffenden Dokumente keine dieser Optionen. Stattdessen erhielten in Chat-Threads hochgeladene Dateien dauerhaft gültige öffentliche URLs, die anschließend in HTML-Seiten eingebettet wurden, die Google erreichen konnte.

David Stuart von Sentra beschrieb die Ursache als „ein Versäumnis zu verstehen, wo regulierte Daten liegen, wie sie sich rasch verbreiten und über Dienste hinweg geteilt werden und ob Kontrollen wie signierte URLs, Authentifizierung und korrekte Indexierungsregeln tatsächlich vorhanden sind”. Er ergänzte, der Vorfall sei kein Zero-Day-Exploit, sondern eine Lücke in der Konfigurationshygiene.

Privacy Guides meldete während des Offenlegungszeitraums einen verwandten Befund. Fiverrs ISO-27001-Zertifizierung für Informationssicherheit war abgelaufen, ein Detail, das für sich genommen keine Fahrlässigkeit belegt, aber der Werbung der Plattform für robuste Datenverarbeitung widerspricht.

Offenlegungsverlauf und Fiverrs Reaktion

Laut dem Beitrag des Forschers wurde Fiverrs Sicherheitsteam etwa 40 Tage vor der öffentlichen Offenlegung per E-Mail informiert. Der Forscher berichtete, in diesem Zeitraum keine substanzielle Rückmeldung erhalten zu haben. Erst nachdem Cybernews und Inc. das Unternehmen kontaktiert hatten, veröffentlichte Fiverr eine Stellungnahme.

Fiverrs Erklärung lautete: „Um es klarzustellen: Dies ist kein Cybervorfall. Fiverr legt die privaten Informationen seiner Nutzer nicht proaktiv offen. Die fraglichen Inhalte wurden von Nutzern im normalen Verlauf der Marktplatzaktivität geteilt, um Arbeitsproben zu präsentieren, gemäß Vereinbarungen und Freigaben zwischen Käufern und Verkäufern.”

Die Stellungnahme deutet die Offenlegung als beabsichtigtes Nutzerverhalten und nicht als Konfigurationsfehler um. Sie geht nicht auf die Indexierung von Steuererklärungen, Reisepässen oder Admin-Zugangsdaten ein, also auf Dokumente, die kein Verkäufer vernünftigerweise als „Arbeitsprobe” teilen würde. Zum Zeitpunkt der Berichterstattung lieferten die öffentlichen URLs für einige Dateien weiterhin Treffer.

Warum Hochgeladene Dateien ein Strukturelles Risiko Sind

Der Fiverr-Vorfall geht nicht um einen raffinierten Angreifer. Er zeigt, was geschieht, wenn eine Datei das Gerät des Nutzers verlässt und in eine Pipeline eines Drittanbieters eintritt. Sobald das PDF hochgeladen ist, kontrolliert der Nutzer nicht mehr, ob es mit signierten URLs gespeichert wird, ob es indexiert wird, ob der Speicheranbieter selbst angegriffen wird oder ob die Compliance-Zertifizierungen des Betreibers aktuell sind.

Privacy Guides machte in seiner Berichterstattung dieselbe Beobachtung: „Wenn du es nicht hochlädst, kann es nicht offengelegt werden.”

Das ist das strukturelle Argument dafür, Dateioperationen im Browser auszuführen. Ein PDF, das in einem WebAssembly-Modul zusammengeführt, geteilt, komprimiert oder mit einem Wasserzeichen versehen wird, bleibt auf dem Gerät des Nutzers. Es gibt keinen Cloud-Bucket, keine signierte URL-Richtlinie, die falsch konfiguriert werden könnte, und keinen Suchmaschinen-Crawler, der die Datei erreicht. Die Daten gelangen überhaupt nicht in die Umgebung eines Drittanbieters.

VaultTools führt jedes Werkzeug im Browser aus, mit Rust, das zu WebAssembly kompiliert wurde. Dateien werden in den Speicher eingelesen, vom Wasm-Modul verarbeitet und als Download zurückgegeben. Keine Netzwerkanfrage überträgt den Dateiinhalt. Die Fiverr-Offenlegung erinnert daran, dass die sicherste Datei diejenige ist, die nie hochgeladen wurde.


Quellen