Fiverr, en av världens största plattformar för frilansare, har exponerats för en allvarlig säkerhetsbrist. Tusentals privata filer som delats mellan frilansare och kunder låg öppet tillgängliga via publika URL:er och kunde hittas genom vanliga Google-sökningar.

Vad har hänt?

Säkerhetsforskaren morpheuskafka publicerade sina fynd på Hacker News i april 2026 efter att ha upptäckt att Fiverr använde molntjänsten Cloudinary för att lagra och leverera filer som utbyts i privata konversationer på plattformen. Problemet: filerna konfigurerades som publikt tillgängliga istället för att skyddas med signerade eller tidsbegränsade länkar.

Det innebar att vem som helst med rätt URL kunde komma åt dokumenten utan inloggning. Ännu värre: vissa av dessa URL:er var länkade i publikt tillgängliga HTML-sidor, vilket gjorde att Google kunde indexera dem. En enkel sökning kunde alltså leda rakt till känsliga dokument.

Vilka filer exponerades?

Enligt forskaren och oberoende verifieringar från Cybernews och CyberInsider inkluderar de exponerade filerna bland annat:

• Skatteformulär och fakturor
• Körkort och ID-handlingar
• Lösenord och API-nycklar
• Kontrakt och affärsdokument

CyberInsider bekräftade att filer från Fiverr serverades via Cloudinary utan autentisering och att vissa av dessa redan var indexerade av Google.

Fiverr nekar till säkerhetsincident

Forskaren kontaktade Fiverr via deras officiella säkerhetskontakt 40 dagar innan fynden offentliggjordes. Fiverr svarade aldrig. När nyheten väl blev publik valde företaget att avfärda rapporten.

I ett svar på X (tidigare Twitter) skrev Fiverr: "Det här är inte en cyberincident. Fiverr exponerar inte proaktivt användares privata information. Innehållet i fråga delades av användare i normal marknadsplatsaktivitet med köparens samtycke."

Säkerhetsexperter har reagerat starkt på uttalandet. Att filer som delas i vad användare uppfattar som privata konversationer blir sökbara på Google är en allvarlig brist i datahantering, oavsett hur plattformen väljer att formulera det.

Varför detta är relevant för svenska företag

Många svenska småföretag och konsulter använder plattformar som Fiverr för att anlita frilansare inom design, utveckling och ekonomi. I dessa uppdrag delas ofta känsliga dokument som fakturor, avtal och inloggningsuppgifter. Den här incidenten visar att en välkänd plattform inte automatiskt innebär att filerna är skyddade.

Så skyddar du dig

Oavsett vilken plattform du använder finns det enkla steg du kan ta för att minska risken:

• Undvik att ladda upp känsliga dokument om det inte är absolut nödvändigt. Överväg om informationen verkligen behöver delas digitalt via plattformen.
• Använd lösenordsskyddade filer när du måste dela känsligt material.
• Byt lösenord och API-nycklar som du tidigare delat via Fiverr eller liknande tjänster.
• Övervaka dina konton och sök på ditt företagsnamn i kombination med "site:res.cloudinary.com" för att se om något har indexerats.
• Kontrollera alltid hur en plattform lagrar och delar filer innan du använder den för känslig information.

Förtroende för en plattform ersätter aldrig grundläggande säkerhetsrutiner. Kontrollera, verifiera och begränsa vad du delar.