- Khi rà soát các trang web dùng TLD
.aivà các gói JS để tìm biến khởi tạo Firebase, một nhà nghiên cứu bảo mật đã phát hiện cấu hình bị lộ của Chattr.ai - Chattr.ai là một hệ thống tuyển dụng AI được quảng bá là giảm 88% thời gian tuyển dụng, đang được nhiều doanh nghiệp thức ăn nhanh và tuyển lao động theo giờ như Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys sử dụng
- Chỉ với cấu hình Firebase trong gói JS thì ban đầu chưa thể truy cập, nhưng khi tạo người dùng mới qua chức năng đăng ký của Firebase, quyền đọc/ghi DB đã được mở
- Thông tin bị lộ gồm tên, số điện thoại, email, mật khẩu dạng văn bản thuần của một số tài khoản, vị trí chi nhánh, tin nhắn mật, thông tin ca làm việc, ảnh hưởng đến nhân viên Chattr, quản lý nhượng quyền và người tìm việc
- Lỗ hổng được phát hiện ngày 01/06, báo cáo ngày 01/09, vá ngày 01/10, và ticket hỗ trợ bị đóng ngày 01/11, nhưng dù đã yêu cầu rõ ràng vẫn không có lời cảm ơn hay liên hệ bổ sung
Từ việc quét Firebase đến Chattr.ai
- Nhà nghiên cứu gần đây đã chạy một script để tìm thông tin xác thực Firebase bị lộ trên hàng trăm startup AI
- Sử dụng danh sách công khai các trang có TLD
.ai - Phân tích dữ liệu trang web và các gói
.jsđược tham chiếu để tìm tham chiếu đến biến khởi tạo Firebase
- Sử dụng danh sách công khai các trang có TLD
- Mục tiêu là tìm khả năng ai đó đã không triển khai đúng quy tắc bảo mật trong quá trình phát hành sản phẩm quá nhanh, và thực tế đã lộ ra một vấn đề còn nghiêm trọng hơn
- Chattr.ai là một hệ thống tuyển dụng AI được quảng bá là rút ngắn 88% thời gian tuyển dụng
- Tuyên bố rút ngắn thời gian tuyển dụng: {p:88}
- Các thương hiệu được liệt kê làm ví dụ doanh nghiệp sử dụng dịch vụ gồm
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Cách leo thang quyền và dữ liệu bị lộ
- Khi đưa cấu hình Firebase lấy từ gói JS vào Firepwn, trạng thái ban đầu là không có quyền
- Sau đó, khi tạo người dùng mới qua chức năng đăng ký của Firebase, dù trên trang Chattr.ai không thể đăng ký, trong Firebase DB lại có toàn quyền đọc/ghi
- Dữ liệu bị lộ bao gồm
- tên
- số điện thoại
- mật khẩu dạng văn bản thuần của một số tài khoản
- vị trí chi nhánh
- tin nhắn mật
- thông tin ca làm việc
- Các nhóm bị ảnh hưởng là nhân viên Chattr, quản lý nhượng quyền và người tìm việc
Lịch công bố và vá lỗi
- 01/06: phát hiện lỗ hổng
- 01/09: gửi báo cáo đã viết qua email cho Chattr.ai
- 01/10: vá lỗ hổng
- 01/11: đóng ticket hỗ trợ, dù đã yêu cầu rõ ràng nhưng không có lời cảm ơn hay liên hệ thêm
1 bình luận
Ý kiến trên Hacker News
Chưa rõ liệu tác giả có được thuê thực hiện kiểm thử xâm nhập hay chỉ là một bên thứ ba thiện chí kiểu du kích
Nếu là vế sau thì tôi khá tò mò làm sao họ có thể táo bạo đến vậy. chattr.ai có chính sách công bố có trách nhiệm không? Tôi nghĩ bất kỳ ai cũng nên được tự do kiểm thử xâm nhập nếu không có ý định gây hại và có báo cáo lại những gì phát hiện được. Đáng tiếc là nhiều công ty, dù đối phương có thiện chí, vẫn hoảng sợ và tiến hành biện pháp pháp lý
Ngay cả nếu là bên thứ ba thiện chí thì công ty vẫn có thể phản ứng pháp lý, nhưng trong những trường hợp như vậy, nhiều khi chuyện kết thúc bằng việc công ty bị bẽ mặt công khai khá nặng
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Các công ty bị hack cũng đủ ác ý rồi, nên đúng ra cần tập trung vào phía đó hơn
Dòng thời gian đang thiếu thời điểm bài viết được đăng lên mạng
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
Hiện tại truy cập liên kết thì trả về đầy chỉ số Prometheus. Thú vị đấy
Trang bị dồn nhiều traffic nên cần phân tích
Tôi tự hỏi liệu điều này có được xem là truy cập được ủy quyền theo CFAA hay không
Tôi muốn biết ranh giới nằm ở đâu
Nghĩ lại thì những người thực sự gặp rủi ro có lẽ là các ứng viên đáng thương đang cố xin việc vào những công ty kiểu này với mức lương giờ rẻ mạt
Tôi không rõ việc này “p0wn” chính công ty như thế nào
Nếu xem trang này bằng Safari thì nó trông như một tài liệu văn bản thuần túy
Nếu bạn không thấy ảnh thì chắc là đang dùng trình duyệt cũ. Theo tôi biết thì mọi trình duyệt bản hiện tại, trừ Internet Explorer, đều hỗ trợ. Còn nếu bạn đang dùng Internet Explorer thì xin Chúa phù hộ
[0] https://caniuse.com/avif
Safari mới nhất hỗ trợ ảnh AVIF, và năm ngoái cũng đã vá nhiều lỗ hổng thực thi mã từ xa có khai thác thực tế được công bố trong Safari