El incidente en que hackearon al mismo tiempo a la mitad de las cadenas de comida rápida de EE. UU.

 (mrbruh.com)
2 puntos por GN⁺ 2024-01-10 | 1 comentarios | Compartir por WhatsApp

Cómo hackearon al mismo tiempo a la mitad de las cadenas de comida rápida de EE. UU.

  • En la consola apareció una notificación de que el script había terminado de ejecutarse, acompañada de un sonido animado. Ese script buscaba sitios, entre los cientos de startups de IA surgidas recientemente, con credenciales de Firebase expuestas.
  • Se buscó públicamente una lista de sitios que usan el dominio de nivel superior .ai, y se localizaron variables de inicialización de Firebase en los datos del sitio y en los bundles de .js referenciados.
  • La expectativa era que habría casos en los que, por la prisa de lanzar el producto, no se implementaron reglas de seguridad adecuadas.

Conociendo Chattr.ai

  • Chattr.ai es un sistema de contratación con IA que afirma reducir en un 88% el tiempo de contratación.
  • Da servicio a cadenas de comida rápida de todo Estados Unidos y a otras empresas que contratan trabajadores por hora.
  • Incluye a Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target y Wendys.

Hallazgo de la vulnerabilidad

  • Al poner la configuración de Firebase del bundle de JS en Firepwn, al principio no había permisos.
  • Pero al crear un nuevo usuario usando la función de registro de Firebase, se obtenían permisos completos (lectura/escritura) sobre la base de datos de Firebase.
  • Entre los datos expuestos había nombres, teléfonos, correos electrónicos, contraseñas en texto plano de algunas cuentas, ubicaciones de sucursales, mensajes confidenciales y horarios de trabajo.
  • Quedó expuesta información de empleados de Chattr, gerentes de franquicia, solicitantes de empleo y otros.

La situación empeora aún más

  • Al obtener la lista de usuarios administradores desde /orgs/0/users y agregar una nueva entrada, era posible acceder por completo al panel de administración.
  • Esto permitía un mayor control del sistema, incluyendo aprobar o rechazar postulantes o reembolsar montos pagados a Chattr.

Cronología (DD/MM)

  • 06/01 - Vulnerabilidad descubierta
  • 09/01 - Documentación terminada y correo enviado
  • 10/01 - Vulnerabilidad corregida
  • Hasta ahora no ha habido contacto ni agradecimiento. Si llega algún mensaje, se actualizará este texto.

Créditos

  • Agradecimiento a los amigos que ayudaron con esta prueba de penetración y la divulgación responsable.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Hecho con Hugo Bear, alojado en Privex.

Opinión de GN⁺

  • Este incidente muestra la gravedad de las vulnerabilidades que pueden surgir cuando las nuevas empresas de tecnología de IA no prestan suficiente atención a la seguridad.
  • Sirve para reconocer los riesgos ocultos detrás de la conveniencia que ofrecen servicios como Chattr.ai.
  • Es un caso que demuestra cuán grande puede ser el daño de lanzar un servicio sin medidas de seguridad adecuadas, y ayuda a elevar la conciencia sobre la seguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-01-10
Opiniones en Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Cronología desde el descubrimiento hasta el parche

      • 6 de enero: vulnerabilidad descubierta
      • 9 de enero: documentación completada y enviada por correo electrónico
      • 10 de enero: vulnerabilidad corregida
      • Se evalúa positivamente que la vulnerabilidad haya sido corregida en solo un día.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Opinión sobre la demora en reportar la vulnerabilidad tras descubrirla
      • Considera curioso que el autor haya encontrado una vulnerabilidad enorme, pero esperara un par de días para reportarla con tal de terminar un buen informe.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Experiencia con HackerOne
      • Comparte que hubo participantes que encontraban una vulnerabilidad pequeña y luego la guardaban durante meses mientras intentaban convertirla en una vulnerabilidad mayor para reclamar una recompensa más alta; después se enfurecían al descubrir que ya había sido corregida.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Dudas sobre el contexto en que se hizo el pentest
      • No queda claro si el autor fue contratado oficialmente para realizar este pentest o si actuó por iniciativa propia. También se pregunta si chattr.ai tiene una política de divulgación responsable.

  • How much would this leak go for in the darknet?

    • Pregunta sobre el valor de la filtración en la darknet
      • Pregunta cuánto podría valer una filtración así en la darknet.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Mención en la publicación de Eva sobre una herramienta para explorar vulnerabilidades de Firebase

      • Dice que, como no sabían mucho sobre Firebase en ese momento, buscaron una herramienta para ver si había alguna vulnerabilidad evidente y encontraron firepwn, que parecía útil como herramienta con GUI, así que simplemente ingresaron los datos del Firebase de chattr.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Pregunta sobre los riesgos de las herramientas de seguridad
      • Una persona sin experiencia en infosec pregunta con genuina curiosidad si una herramienta así podría comunicarse con su origen y registrar todo lo que se encuentra durante la investigación.

  • Full permissions for a user is blatant negligence.

    • Crítica por otorgar permisos completos a un usuario
      • Afirma que darle permisos completos a un usuario es una negligencia evidente.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Pregunta sobre la responsabilidad legal si la vulnerabilidad hubiera sido explotada
      • Pregunta si, de haberse explotado la vulnerabilidad y si los postulantes a empleos de Target, Subway, Dunkin y otras empresas hubieran sufrido fraude bancario o crediticio a su nombre, las grandes compañías serían legalmente responsables por no haber hecho la debida diligencia sobre chattr.ai.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Duda sobre quién descubrió primero la vulnerabilidad
      • Plantea que nadie puede asegurar que hayan sido los primeros en descubrirla, solo que fueron los primeros en descubrirla y hacer algo para corregirla.

  • I thought there was a US law now where breaches like this have to be reported?

    • Mención de la obligación de reportar filtraciones de datos
      • Comenta que tenía entendido que en Estados Unidos existe una ley que obliga a reportar incidentes como este.

  • Firebase is a shitshow.

    • Opinión crítica sobre Firebase
      • Expresa una opinión muy crítica sobre Firebase, señalando que además de los problemas de seguridad, al usarlo en proyectos reales encontró diversos inconvenientes.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Evaluación positiva de la redacción del artículo
      • Considera que el artículo está muy bien hecho, bien escrito y con mucho tacto, y señala que menos mal que HN compensa la falta de reconocimiento; además critica a chattr por su falta de profesionalismo.

  • Article gets to the point very quickly, nice.

    • Evaluación positiva del estilo directo del artículo
      • Elogia que el artículo vaya al grano muy rápido.