Vụ tấn công xâm nhập đồng thời một nửa các chuỗi thức ăn nhanh ở Mỹ

 (mrbruh.com)
2 điểm bởi GN⁺ 2024-01-10 | 1 bình luận | Chia sẻ qua WhatsApp

Cách xâm nhập đồng thời một nửa các chuỗi thức ăn nhanh ở Mỹ

  • Trên console hiện thông báo script chạy xong kèm một âm thanh vui tai. Script này dùng để tìm các website trong số hàng trăm startup AI mới xuất hiện gần đây bị lộ thông tin xác thực Firebase.
  • Công khai tìm kiếm danh sách các website sử dụng tên miền cấp cao nhất .ai, rồi tìm các biến khởi tạo Firebase trong dữ liệu trang web và các gói .js được tham chiếu.
  • Dự đoán rằng sẽ có những trường hợp vì quá vội ra mắt sản phẩm nên không triển khai các quy tắc bảo mật phù hợp.

Gặp gỡ Chattr.ai

  • Chattr.ai là một hệ thống tuyển dụng bằng AI, tuyên bố rút ngắn thời gian tuyển dụng tới 88%.
  • Dịch vụ này phục vụ các chuỗi thức ăn nhanh trên khắp nước Mỹ và những công ty khác tuyển lao động theo giờ.
  • Bao gồm Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys.

Phát hiện lỗ hổng

  • Khi đưa cấu hình Firebase từ gói JS vào Firepwn thì ban đầu không có quyền truy cập.
  • Nếu dùng chức năng đăng ký của Firebase để tạo người dùng mới, sẽ giành được toàn quyền (đọc/ghi) đối với Firebase DB.
  • Dữ liệu bị lộ bao gồm tên, số điện thoại, email, mật khẩu dạng văn bản thuần của một số tài khoản, vị trí chi nhánh, tin nhắn mật, lịch làm việc, v.v.
  • Thông tin của nhân viên Chattr, quản lý nhượng quyền, người tìm việc và những đối tượng khác đã bị lộ.

Tình hình còn tệ hơn

  • Lấy danh sách người dùng quản trị tại /orgs/0/users rồi thêm mục mới vào thì có thể truy cập hoàn toàn bảng điều khiển quản trị.
  • Điều này cho phép kiểm soát hệ thống nhiều hơn, bao gồm phê duyệt/từ chối ứng viên hoặc hoàn lại số tiền đã thanh toán cho Chattr.

Dòng thời gian (DD/MM)

  • 06/01 - Phát hiện lỗ hổng
  • 09/01 - Hoàn tất tài liệu và gửi email
  • 10/01 - Vá lỗ hổng
  • Cho đến nay vẫn chưa nhận được liên hệ hay lời cảm ơn nào. Nếu có liên hệ, bài viết này sẽ được cập nhật.

Ghi công

  • Cảm ơn những người bạn đã giúp đỡ trong bài pentest này và quá trình công bố có trách nhiệm.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Được tạo bằng Hugo Bear, được lưu trữ trên Privex.

Ý kiến của GN⁺

  • Vụ việc này cho thấy những lỗ hổng nghiêm trọng có thể xảy ra khi các công ty công nghệ AI mới không dành đủ sự chú ý cho bảo mật.
  • Đây là dịp để nhận thức rõ các rủi ro ẩn sau sự tiện lợi mà những dịch vụ như Chattr.ai mang lại.
  • Là một ví dụ cho thấy việc ra mắt dịch vụ mà không có các biện pháp bảo mật thích hợp có thể gây ra thiệt hại lớn đến mức nào, qua đó giúp nâng cao cảnh giác về bảo mật.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-01-10
Ý kiến trên Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Dòng thời gian từ lúc phát hiện đến lúc vá lỗi

      • 6/1: Phát hiện lỗ hổng
      • 9/1: Hoàn tất tài liệu và gửi email cho họ
      • 10/1: Vá lỗ hổng
      • Đánh giá tích cực việc lỗ hổng được vá chỉ sau một ngày.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Ý kiến về việc chậm báo cáo sau khi phát hiện lỗ hổng
      • Cho rằng khá buồn cười khi tác giả phát hiện một lỗ hổng rất lớn nhưng lại đợi vài ngày mới báo cáo để kịp hoàn thiện một bản write-up đẹp mắt.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Trải nghiệm với HackerOne
      • Chia sẻ rằng từng có những người tham gia phát hiện một lỗ hổng nhỏ nhưng lại giữ kín suốt nhiều tháng trong lúc cố tìm cách biến nó thành một lỗ hổng lớn hơn để nhận mức thưởng cao hơn.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Thắc mắc về bối cảnh thực hiện pentest
      • Không rõ tác giả được thuê chính thức để làm pentest này hay chỉ tự nguyện hành động như một hacker mũ trắng/người tốt bụng. Cũng đặt câu hỏi liệu chattr.ai có chính sách responsible disclosure hay không.

  • How much would this leak go for in the darknet?

    • Câu hỏi về giá trị của dữ liệu rò rỉ trên darknet
      • Hỏi rằng lượng thông tin rò rỉ như vậy có thể được bán với giá bao nhiêu trên darknet.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Đề cập trong bài đăng của Eva về công cụ tìm lỗ hổng Firebase

      • Cho biết vì lúc đó họ không biết nhiều về Firebase nên đã tìm một công cụ để kiểm tra xem có lỗ hổng hiển nhiên nào không, và họ tìm thấy firepwn, một công cụ GUI có vẻ ổn, rồi nhập thông tin Firebase của chattr vào.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Câu hỏi về rủi ro của công cụ bảo mật
      • Một người không có kinh nghiệm infosec chân thành thắc mắc liệu công cụ kiểu này có thể tự gửi dữ liệu về máy chủ của nó và ghi lại mọi thứ bạn phát hiện trong quá trình nghiên cứu hay không.

  • Full permissions for a user is blatant negligence.

    • Chỉ trích việc cấp toàn quyền cho người dùng
      • Nhận xét rằng việc cấp toàn bộ quyền cho một người dùng là sự cẩu thả quá rõ ràng.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Câu hỏi về trách nhiệm pháp lý nếu lỗ hổng bị khai thác
      • Hỏi rằng nếu lỗ hổng này bị khai thác và các ứng viên xin việc tại Target, Subway, Dunkin cùng các công ty khác bị gian lận ngân hàng/thẻ tín dụng dưới danh nghĩa của họ, thì các tập đoàn lớn đó có phải chịu trách nhiệm pháp lý vì không thẩm định đầy đủ chattr.ai hay không.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Nghi vấn về người đầu tiên phát hiện lỗ hổng
      • Đặt câu hỏi ai có thể khẳng định họ là người đầu tiên phát hiện ra lỗ hổng này; có thể họ chỉ là những người đầu tiên phát hiện và làm điều gì đó để khắc phục nó.

  • I thought there was a US law now where breaches like this have to be reported?

    • Nhắc đến nghĩa vụ báo cáo rò rỉ dữ liệu
      • Nói rằng họ tưởng hiện nay ở Mỹ có luật yêu cầu các vụ rò rỉ kiểu này phải được báo cáo.

  • Firebase is a shitshow.

    • Ý kiến chỉ trích Firebase
      • Đưa ra quan điểm rất tiêu cực về Firebase, cho rằng ngoài các vấn đề bảo mật thì nền tảng này còn có nhiều điểm tệ khác trong thực tế sử dụng.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Đánh giá tích cực về bài viết
      • Khen bài viết được thực hiện tốt, viết tốt và xử lý rất khéo léo; đồng thời chê chattr là một công ty thiếu chuyên nghiệp.

  • Article gets to the point very quickly, nice.

    • Đánh giá tích cực về lối viết trực diện của bài báo
      • Khen rằng bài viết đi thẳng vào trọng tâm rất nhanh, rất ổn.