2 puntos por GN⁺ 2024-01-10 | 1 comentarios | Compartir por WhatsApp
  • Un investigador de seguridad estaba revisando sitios con TLD .ai y bundles de JS en busca de variables de inicialización de Firebase cuando encontró una configuración expuesta de Chattr.ai
  • Chattr.ai es un sistema de reclutamiento con IA que promociona que reduce en 88% el tiempo de contratación, y era usado por varias empresas de comida rápida y empleo por hora, como Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target y Wendys
  • Aunque el acceso estaba bloqueado usando solo la configuración de Firebase del bundle de JS, al crear un nuevo usuario con la función de registro de Firebase se habilitaron permisos de lectura y escritura en la DB
  • La información expuesta incluía nombres, números de teléfono, correos electrónicos, contraseñas en texto plano de algunas cuentas, ubicaciones de sucursales, mensajes confidenciales e información de turnos de trabajo, y afectaba a empleados de Chattr, gerentes de franquicias y postulantes
  • La vulnerabilidad se descubrió el 06/01, se reportó el 09/01 y se corrigió el 10/01; el ticket de soporte se cerró el 11/01, pero no hubo agradecimiento ni contacto adicional pese a haberlo solicitado explícitamente

Del escaneo de Firebase a Chattr.ai

  • El investigador ejecutó recientemente un script para buscar credenciales de Firebase expuestas en cientos de startups de IA
    • Usó una lista pública de sitios con TLD .ai
    • Parseó los datos de los sitios y los bundles .js referenciados para encontrar referencias a variables de inicialización de Firebase
  • Buscaba la posibilidad de que, al lanzar productos rápidamente, alguien no hubiera implementado correctamente las reglas de seguridad, y en la práctica apareció un problema más grave
  • Chattr.ai es un sistema de reclutamiento con IA que promociona que reduce en 88% el tiempo de contratación de nuevos empleados
    • Afirmación de reducción del tiempo de contratación: {p:88}
  • Como ejemplos de empresas que usan el servicio, se listan las siguientes marcas
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Método de escalamiento de permisos y datos expuestos

  • Al cargar en Firepwn la configuración de Firebase obtenida del bundle de JS, inicialmente se empieza sin permisos
  • Luego, al crear un nuevo usuario con la función de registro de Firebase, aunque no era posible registrarse desde el sitio de Chattr.ai, se obtuvieron permisos completos de lectura/escritura sobre la DB de Firebase
  • Los datos expuestos incluían lo siguiente
    • Nombres
    • Números de teléfono
    • Correos electrónicos
    • Contraseñas en texto plano de algunas cuentas
    • Ubicaciones de sucursales
    • Mensajes confidenciales
    • Información de turnos de trabajo
  • Los grupos afectados fueron empleados de Chattr, gerentes de franquicias y postulantes

Divulgación y cronograma del parche

  • 06/01: descubrimiento de la vulnerabilidad
  • 09/01: envío por correo electrónico del reporte redactado a Chattr.ai
  • 10/01: parche de la vulnerabilidad
  • 11/01: cierre del ticket de soporte; no hubo agradecimiento ni contacto adicional pese a haberlo solicitado explícitamente

1 comentarios

 
GN⁺ 2024-01-10
Opiniones en Hacker News
  • No queda claro si el autor recibió el encargo de hacer esta prueba de penetración o si era un tercero bienintencionado actuando por su cuenta
    Si es lo segundo, me pregunto cómo puede ser tan atrevido. ¿chattr.ai tiene una política de divulgación responsable? Creo que cualquiera debería poder hacer pruebas de penetración libremente si no tiene intención de causar daño y reporta lo que encuentra. Lamentablemente, muchas empresas, aunque haya buena intención, se asustan y terminan recurriendo a acciones legales

    • La parte que dice “estaba buscando credenciales de Firebase expuestas en cientos de startups de IA recientemente” lo deja bastante claro. Corrió un script para escanear cientos de startups
      Incluso si era un tercero bienintencionado, la empresa podría emprender acciones legales, pero en esos casos muchas veces todo termina con la empresa quedando bastante avergonzada en público
    • La web ya es lo suficientemente insegura; solo quiero poner de mi parte para hacerla хотя sea un poco más segura
    • Este tipo de incidentes también a veces hace que los organismos reguladores examinen más de cerca a la empresa
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Me pregunto si piensas lo mismo sobre la seguridad física. ¿Si alguien merodea alrededor de un edificio, mira por las ventanas, fuerza la cerradura de una puerta e incluso camina un poco adentro, estaría bien siempre que no robe nada?
    • Si no hay una regulación adecuada, estándares de ingeniería y multas reales, al final la única democracia que existe es que la gente actúe por su cuenta
      Las empresas hackeadas también tienen bastante culpa, así que más bien habría que enfocarse en eso
  • En la cronología falta el momento en que el texto se publicó en línea

  • Si entras al enlace ahora, devuelve un montón de métricas de Prometheus. Interesante

    • Ya no será así. Era justo el momento en que “lo estaba desplegando en producción”
      El sitio recibió mucho tráfico y necesitaba analizarlo
  • Me pregunto si esto entra en lo que la CFAA considera acceso autorizado
    Me gustaría saber dónde está el límite

  • Pensándolo de nuevo, la gente realmente en riesgo parece ser la pobre gente que intenta conseguir trabajo en estas empresas por un salario por hora miserable
    No me queda muy claro cómo esto “p0wnea” a la empresa en sí

  • Si ves esta página en Safari, se muestra simplemente como un documento de texto

    • Las imágenes usan formato AVIF. Es para obtener una compresión 2 veces mejor que PNG manteniendo una calidad superior a JPG
      Si no ves las imágenes, probablemente estás usando un navegador viejo. Hasta donde sé, todos los navegadores actuales, excepto Internet Explorer, lo soportan. Y si estás usando Internet Explorer, que Dios te acompañe
      [0] https://caniuse.com/avif
    • En Safari 16.1 de mac no se ve así
    • Como este es un texto sobre seguridad, aquí va el recordatorio del día: actualiza tu navegador para estar seguro en internet
      Las versiones recientes de Safari soportan imágenes AVIF, y el año pasado se corrigieron varias vulnerabilidades de ejecución remota de código en Safari para las que se conocían exploits reales