El caso en que hackearon simultáneamente a la mitad de las cadenas de comida rápida de EE. UU.
(mrbruh.com)- Un investigador de seguridad estaba revisando sitios con TLD
.aiy bundles de JS en busca de variables de inicialización de Firebase cuando encontró una configuración expuesta de Chattr.ai - Chattr.ai es un sistema de reclutamiento con IA que promociona que reduce en 88% el tiempo de contratación, y era usado por varias empresas de comida rápida y empleo por hora, como Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target y Wendys
- Aunque el acceso estaba bloqueado usando solo la configuración de Firebase del bundle de JS, al crear un nuevo usuario con la función de registro de Firebase se habilitaron permisos de lectura y escritura en la DB
- La información expuesta incluía nombres, números de teléfono, correos electrónicos, contraseñas en texto plano de algunas cuentas, ubicaciones de sucursales, mensajes confidenciales e información de turnos de trabajo, y afectaba a empleados de Chattr, gerentes de franquicias y postulantes
- La vulnerabilidad se descubrió el 06/01, se reportó el 09/01 y se corrigió el 10/01; el ticket de soporte se cerró el 11/01, pero no hubo agradecimiento ni contacto adicional pese a haberlo solicitado explícitamente
Del escaneo de Firebase a Chattr.ai
- El investigador ejecutó recientemente un script para buscar credenciales de Firebase expuestas en cientos de startups de IA
- Usó una lista pública de sitios con TLD
.ai - Parseó los datos de los sitios y los bundles
.jsreferenciados para encontrar referencias a variables de inicialización de Firebase
- Usó una lista pública de sitios con TLD
- Buscaba la posibilidad de que, al lanzar productos rápidamente, alguien no hubiera implementado correctamente las reglas de seguridad, y en la práctica apareció un problema más grave
- Chattr.ai es un sistema de reclutamiento con IA que promociona que reduce en 88% el tiempo de contratación de nuevos empleados
- Afirmación de reducción del tiempo de contratación: {p:88}
- Como ejemplos de empresas que usan el servicio, se listan las siguientes marcas
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Método de escalamiento de permisos y datos expuestos
- Al cargar en Firepwn la configuración de Firebase obtenida del bundle de JS, inicialmente se empieza sin permisos
- Luego, al crear un nuevo usuario con la función de registro de Firebase, aunque no era posible registrarse desde el sitio de Chattr.ai, se obtuvieron permisos completos de lectura/escritura sobre la DB de Firebase
- Los datos expuestos incluían lo siguiente
- Nombres
- Números de teléfono
- Correos electrónicos
- Contraseñas en texto plano de algunas cuentas
- Ubicaciones de sucursales
- Mensajes confidenciales
- Información de turnos de trabajo
- Los grupos afectados fueron empleados de Chattr, gerentes de franquicias y postulantes
Divulgación y cronograma del parche
- 06/01: descubrimiento de la vulnerabilidad
- 09/01: envío por correo electrónico del reporte redactado a Chattr.ai
- 10/01: parche de la vulnerabilidad
- 11/01: cierre del ticket de soporte; no hubo agradecimiento ni contacto adicional pese a haberlo solicitado explícitamente
1 comentarios
Opiniones en Hacker News
No queda claro si el autor recibió el encargo de hacer esta prueba de penetración o si era un tercero bienintencionado actuando por su cuenta
Si es lo segundo, me pregunto cómo puede ser tan atrevido. ¿chattr.ai tiene una política de divulgación responsable? Creo que cualquiera debería poder hacer pruebas de penetración libremente si no tiene intención de causar daño y reporta lo que encuentra. Lamentablemente, muchas empresas, aunque haya buena intención, se asustan y terminan recurriendo a acciones legales
Incluso si era un tercero bienintencionado, la empresa podría emprender acciones legales, pero en esos casos muchas veces todo termina con la empresa quedando bastante avergonzada en público
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Las empresas hackeadas también tienen bastante culpa, así que más bien habría que enfocarse en eso
En la cronología falta el momento en que el texto se publicó en línea
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
Si entras al enlace ahora, devuelve un montón de métricas de Prometheus. Interesante
El sitio recibió mucho tráfico y necesitaba analizarlo
Me pregunto si esto entra en lo que la CFAA considera acceso autorizado
Me gustaría saber dónde está el límite
Pensándolo de nuevo, la gente realmente en riesgo parece ser la pobre gente que intenta conseguir trabajo en estas empresas por un salario por hora miserable
No me queda muy claro cómo esto “p0wnea” a la empresa en sí
Si ves esta página en Safari, se muestra simplemente como un documento de texto
Si no ves las imágenes, probablemente estás usando un navegador viejo. Hasta donde sé, todos los navegadores actuales, excepto Internet Explorer, lo soportan. Y si estás usando Internet Explorer, que Dios te acompañe
[0] https://caniuse.com/avif
Las versiones recientes de Safari soportan imágenes AVIF, y el año pasado se corrigieron varias vulnerabilidades de ejecución remota de código en Safari para las que se conocían exploits reales