2 điểm bởi GN⁺ 2024-01-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Khi rà soát các trang web dùng TLD .ai và các gói JS để tìm biến khởi tạo Firebase, một nhà nghiên cứu bảo mật đã phát hiện cấu hình bị lộ của Chattr.ai
  • Chattr.ai là một hệ thống tuyển dụng AI được quảng bá là giảm 88% thời gian tuyển dụng, đang được nhiều doanh nghiệp thức ăn nhanh và tuyển lao động theo giờ như Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys sử dụng
  • Chỉ với cấu hình Firebase trong gói JS thì ban đầu chưa thể truy cập, nhưng khi tạo người dùng mới qua chức năng đăng ký của Firebase, quyền đọc/ghi DB đã được mở
  • Thông tin bị lộ gồm tên, số điện thoại, email, mật khẩu dạng văn bản thuần của một số tài khoản, vị trí chi nhánh, tin nhắn mật, thông tin ca làm việc, ảnh hưởng đến nhân viên Chattr, quản lý nhượng quyền và người tìm việc
  • Lỗ hổng được phát hiện ngày 01/06, báo cáo ngày 01/09, vá ngày 01/10, và ticket hỗ trợ bị đóng ngày 01/11, nhưng dù đã yêu cầu rõ ràng vẫn không có lời cảm ơn hay liên hệ bổ sung

Từ việc quét Firebase đến Chattr.ai

  • Nhà nghiên cứu gần đây đã chạy một script để tìm thông tin xác thực Firebase bị lộ trên hàng trăm startup AI
    • Sử dụng danh sách công khai các trang có TLD .ai
    • Phân tích dữ liệu trang web và các gói .js được tham chiếu để tìm tham chiếu đến biến khởi tạo Firebase
  • Mục tiêu là tìm khả năng ai đó đã không triển khai đúng quy tắc bảo mật trong quá trình phát hành sản phẩm quá nhanh, và thực tế đã lộ ra một vấn đề còn nghiêm trọng hơn
  • Chattr.ai là một hệ thống tuyển dụng AI được quảng bá là rút ngắn 88% thời gian tuyển dụng
    • Tuyên bố rút ngắn thời gian tuyển dụng: {p:88}
  • Các thương hiệu được liệt kê làm ví dụ doanh nghiệp sử dụng dịch vụ gồm
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Cách leo thang quyền và dữ liệu bị lộ

  • Khi đưa cấu hình Firebase lấy từ gói JS vào Firepwn, trạng thái ban đầu là không có quyền
  • Sau đó, khi tạo người dùng mới qua chức năng đăng ký của Firebase, dù trên trang Chattr.ai không thể đăng ký, trong Firebase DB lại có toàn quyền đọc/ghi
  • Dữ liệu bị lộ bao gồm
    • tên
    • số điện thoại
    • email
    • mật khẩu dạng văn bản thuần của một số tài khoản
    • vị trí chi nhánh
    • tin nhắn mật
    • thông tin ca làm việc
  • Các nhóm bị ảnh hưởng là nhân viên Chattr, quản lý nhượng quyền và người tìm việc

Lịch công bố và vá lỗi

  • 01/06: phát hiện lỗ hổng
  • 01/09: gửi báo cáo đã viết qua email cho Chattr.ai
  • 01/10: vá lỗ hổng
  • 01/11: đóng ticket hỗ trợ, dù đã yêu cầu rõ ràng nhưng không có lời cảm ơn hay liên hệ thêm

1 bình luận

 
GN⁺ 2024-01-10
Ý kiến trên Hacker News
  • Chưa rõ liệu tác giả có được thuê thực hiện kiểm thử xâm nhập hay chỉ là một bên thứ ba thiện chí kiểu du kích
    Nếu là vế sau thì tôi khá tò mò làm sao họ có thể táo bạo đến vậy. chattr.ai có chính sách công bố có trách nhiệm không? Tôi nghĩ bất kỳ ai cũng nên được tự do kiểm thử xâm nhập nếu không có ý định gây hại và có báo cáo lại những gì phát hiện được. Đáng tiếc là nhiều công ty, dù đối phương có thiện chí, vẫn hoảng sợ và tiến hành biện pháp pháp lý

    • Nhìn vào đoạn “gần đây tôi đã tìm các thông tin xác thực Firebase bị lộ trong hàng trăm startup AI” thì có vẻ khá rõ rồi. Họ đã chạy một script quét hàng trăm startup
      Ngay cả nếu là bên thứ ba thiện chí thì công ty vẫn có thể phản ứng pháp lý, nhưng trong những trường hợp như vậy, nhiều khi chuyện kết thúc bằng việc công ty bị bẽ mặt công khai khá nặng
    • Web vốn đã đủ thiếu an toàn rồi, tôi chỉ muốn góp phần nhỏ để làm nó an toàn hơn một chút
    • Những vụ như thế này đôi khi cũng trở thành lý do để cơ quan quản lý soi kỹ công ty hơn
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Tôi tự hỏi bạn có nghĩ tương tự về an ninh vật lý không. Nếu ai đó đi quanh tòa nhà, nhìn qua cửa sổ, cạy ổ khóa cửa, thậm chí đi lại một chút bên trong mà không lấy cắp gì thì cũng ổn sao?
    • Nếu không có quy định đúng nghĩa, tiêu chuẩn kỹ thuật và mức phạt đủ sức nặng, thì cuối cùng hình thức dân chủ duy nhất còn tồn tại là người dân tự mình hành động
      Các công ty bị hack cũng đủ ác ý rồi, nên đúng ra cần tập trung vào phía đó hơn
  • Dòng thời gian đang thiếu thời điểm bài viết được đăng lên mạng

  • Hiện tại truy cập liên kết thì trả về đầy chỉ số Prometheus. Thú vị đấy

    • Giờ thì sẽ không còn vậy nữa. Đó là khoảnh khắc “đang được triển khai vào môi trường production”
      Trang bị dồn nhiều traffic nên cần phân tích
  • Tôi tự hỏi liệu điều này có được xem là truy cập được ủy quyền theo CFAA hay không
    Tôi muốn biết ranh giới nằm ở đâu

  • Nghĩ lại thì những người thực sự gặp rủi ro có lẽ là các ứng viên đáng thương đang cố xin việc vào những công ty kiểu này với mức lương giờ rẻ mạt
    Tôi không rõ việc này “p0wn” chính công ty như thế nào

  • Nếu xem trang này bằng Safari thì nó trông như một tài liệu văn bản thuần túy

    • Họ đang dùng định dạng AVIF cho ảnh. Mục đích là để có mức nén tốt gấp đôi PNG mà vẫn giữ chất lượng cao hơn JPG
      Nếu bạn không thấy ảnh thì chắc là đang dùng trình duyệt cũ. Theo tôi biết thì mọi trình duyệt bản hiện tại, trừ Internet Explorer, đều hỗ trợ. Còn nếu bạn đang dùng Internet Explorer thì xin Chúa phù hộ
      [0] https://caniuse.com/avif
    • Trên Safari 16.1 của mac thì không thấy như vậy
    • Vì đây là bài viết về bảo mật, nên đây là lời nhắc trong ngày rằng hãy cập nhật trình duyệt để an toàn hơn trên Internet
      Safari mới nhất hỗ trợ ảnh AVIF, và năm ngoái cũng đã vá nhiều lỗ hổng thực thi mã từ xa có khai thác thực tế được công bố trong Safari