피드로 돌아가기
Fiverr가 고객 파일을 공개 상태로 두어 검색 가능했던 문제
GeekNewsGeekNews
Security

Fiverr가 고객 파일을 공개 상태로 두어 검색 가능했던 문제

Signed URL 미적용으로 인한 Cloudinary 민감 데이터 Google 노출 사고

neo2026년 4월 15일5intermediate

AI 요약

Context

Cloudinary를 통한 고객 파일 제공 시 Expiring Signed URL 대신 Public URL을 사용하는 구조적 결함 발생. 공개 HTML 페이지 내 링크 참조로 인한 Google Search 엔진의 인덱싱 및 PII 데이터의 외부 노출 상황.

Technical Solution

  • Public URL 기반의 직접 접근 구조에서 인증 기반의 Signed URL 체계로 전환 필요
  • Cloudinary의 Private Asset 설정을 통한 무단 접근 차단 및 시간 제한 기반의 접근 권한 부여
  • robots.txt 및 sitemap 설정을 통한 검색 엔진의 민감 경로 인덱싱 원천 차단
  • PII 포함 문서에 대한 서버 사이드 검증 및 접근 제어 리스트(ACL) 적용
  • 보안 제보 및 취약점 관리를 위한 BugCrowd 등 외부 플랫폼과의 실효적 연동 체계 구축

Key Takeaway

클라우드 스토리지 서비스 이용 시 기본 설정(Default)의 Public 접근 권한을 배제하고, 최소 권한 원칙에 기반한 임시 접근 토큰(Signed URL) 설계가 필수적임.

실천 포인트

1. 외부 스토리지(S3, Cloudinary 등)의 Public Access 설정 여부 전수 조사

2. 정적 파일 제공 시 유효 기간이 설정된 Signed URL 적용 여부 확인

3. robots.txt 및 Meta Tag를 통한 검색 엔진 인덱싱 범위 정의 및 검증

4. PII 포함 데이터의 경우 스토리지 계층이 아닌 애플리케이션 계층의 인증 프록시 거침 여부 검토

태그

#Cloudinary#Broken Access Control#PII#Indexing#Signed URL
원문 읽기