เหตุการณ์แฮ็กเครือร้านฟาสต์ฟู้ดครึ่งหนึ่งของสหรัฐฯ พร้อมกัน

 (mrbruh.com)
2 คะแนน โดย GN⁺ 2024-01-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

วิธีที่แฮ็กเครือร้านฟาสต์ฟู้ดครึ่งหนึ่งของสหรัฐฯ พร้อมกัน

  • บนคอนโซลมีเสียงสั้น ๆ พร้อมการแจ้งว่าสคริปต์รันเสร็จแล้ว สคริปต์นี้ใช้ค้นหาเว็บไซต์ในบรรดาสตาร์ตอัป AI หลายร้อยรายที่เพิ่งเกิดขึ้นไม่นานซึ่งมีการเปิดเผยข้อมูลรับรอง Firebase
  • ค้นหารายชื่อเว็บไซต์ที่ใช้โดเมนระดับบนสุด .ai แบบสาธารณะ แล้วตรวจหาตัวแปรเริ่มต้น Firebase จากข้อมูลของเว็บไซต์และ .js bundle ที่ถูกอ้างอิง
  • คาดว่าอาจมีบางแห่งที่รีบเปิดตัวผลิตภัณฑ์จนไม่ได้ใช้กฎความปลอดภัยที่เหมาะสม

พบกับ Chattr.ai

  • Chattr.ai คือระบบ AI สำหรับการจ้างงานที่อ้างว่าสามารถลดเวลาในการสรรหาลงได้ 88%
  • ให้บริการแก่เครือร้านฟาสต์ฟู้ดทั่วสหรัฐฯ และบริษัทอื่น ๆ ที่จ้างพนักงานรายชั่วโมง
  • รวมถึง Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys เป็นต้น

การค้นพบช่องโหว่

  • เมื่อนำค่า Firebase config จาก JS bundle ไปใส่ใน Firepwn ตอนแรกจะยังไม่มีสิทธิ์
  • แต่หากใช้ฟังก์ชันสมัครสมาชิกของ Firebase เพื่อสร้างผู้ใช้ใหม่ จะได้สิทธิ์เต็มรูปแบบต่อ Firebase DB (อ่าน/เขียน)
  • ข้อมูลที่รั่วไหลประกอบด้วยชื่อ หมายเลขโทรศัพท์ อีเมล รหัสผ่านแบบ plaintext ของบางบัญชี ตำแหน่งสาขา ข้อความลับ ตารางเวลางาน เป็นต้น
  • ข้อมูลของพนักงาน Chattr, ผู้จัดการแฟรนไชส์, ผู้สมัครงาน และคนอื่น ๆ ถูกเปิดเผย

สถานการณ์เลวร้ายลงอีก

  • หากดึงรายชื่อผู้ใช้แอดมินจาก /orgs/0/users แล้วเพิ่มรายการใหม่เข้าไป ก็จะเข้าถึงแดชบอร์ดผู้ดูแลระบบได้ทั้งหมด
  • ทำให้ควบคุมระบบได้มากขึ้น เช่น อนุมัติ/ปฏิเสธผู้สมัคร หรือคืนเงินที่จ่ายให้ Chattr

ไทม์ไลน์ (DD/MM)

  • 06/01 - พบช่องโหว่
  • 09/01 - เขียนเอกสารเสร็จและส่งอีเมลแล้ว
  • 10/01 - แพตช์ช่องโหว่
  • จนถึงตอนนี้ยังไม่ได้รับการติดต่อหรือคำขอบคุณใด ๆ หากมีการติดต่อเข้ามาจะอัปเดตบทความนี้

เครดิต

  • ขอบคุณเพื่อน ๆ ที่ช่วยในการทำเพนเทสต์และการเปิดเผยอย่างรับผิดชอบครั้งนี้
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • สร้างด้วย Hugo Bear, โฮสต์โดย Privex

ความเห็นของ GN⁺

  • เหตุการณ์นี้แสดงให้เห็นถึงช่องโหว่ร้ายแรงที่อาจเกิดขึ้นได้เมื่อบริษัทเทคโนโลยี AI หน้าใหม่ไม่ให้ความสำคัญกับความปลอดภัยมากพอ
  • เป็นโอกาสให้ตระหนักถึงความเสี่ยงที่ซ่อนอยู่เบื้องหลังความสะดวกสบายที่บริการอย่าง Chattr.ai มอบให้
  • เป็นกรณีตัวอย่างที่ชี้ให้เห็นว่าการเปิดตัวบริการโดยไม่มีมาตรการความปลอดภัยที่เหมาะสมสามารถก่อให้เกิดความเสียหายใหญ่หลวงได้เพียงใด และช่วยกระตุ้นให้ตื่นตัวเรื่องความปลอดภัยมากขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-01-10
ความคิดเห็นจาก Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • ไทม์ไลน์ตั้งแต่พบจนถึงแพตช์

      • 6 ม.ค.: พบช่องโหว่
      • 9 ม.ค.: เขียนเอกสารเสร็จและส่งอีเมล
      • 10 ม.ค.: แพตช์ช่องโหว่
      • มองในแง่บวกว่าแพตช์ช่องโหว่ได้ภายในเวลาเพียงวันเดียว

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • ความเห็นเรื่องการชะลอการรายงานหลังพบช่องโหว่
      • มองว่าน่าขำที่ผู้เขียนพบช่องโหว่ขนาดใหญ่ แต่กลับรออยู่หลายวันเพื่อเขียนรายงานให้เรียบร้อยก่อนค่อยแจ้ง

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • ประสบการณ์กับ HackerOne
      • เล่าประสบการณ์ว่ามีผู้เข้าร่วมบางคนพบช่องโหว่เล็ก ๆ แล้วเก็บเงียบไว้นานหลายเดือน ระหว่างพยายามหาวิธีขยายให้เป็นช่องโหว่ใหญ่ขึ้นเพื่อขอรางวัลที่สูงกว่า ก่อนจะมารู้ทีหลังว่ามันถูกแพตช์ไปแล้วและโมโหมาก

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • ข้อสงสัยเกี่ยวกับที่มาของการทำ pentest
      • ยังไม่ชัดเจนว่าผู้เขียนได้รับการว่าจ้างอย่างเป็นทางการให้ทำ pentest นี้ หรือเป็นคนที่ลงมือเองด้วยความหวังดี หากเป็นอย่างหลัง ก็สงสัยว่าทำไมถึงกล้าทำขนาดนี้ และ chattr.ai มีนโยบาย responsible disclosure หรือไม่

  • How much would this leak go for in the darknet?

    • คำถามเรื่องมูลค่าของข้อมูลรั่วไหลในดาร์กเน็ต
      • ถามว่าข้อมูลที่รั่วลักษณะนี้จะขายได้ราคาเท่าไรในดาร์กเน็ต

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • การกล่าวถึงเครื่องมือสำรวจช่องโหว่ Firebase ในโพสต์ของ Eva

      • บอกว่าตอนนั้นยังไม่ค่อยรู้เรื่อง Firebase มากนัก จึงลองหาเครื่องมือไว้ดูว่ามีช่องโหว่ชัด ๆ อะไรหรือไม่ และไปเจอ firepwn ซึ่งดูเหมาะในฐานะเครื่องมือ GUI เลยใส่รายละเอียด Firebase ของ chattr ลงไป

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • คำถามเกี่ยวกับความเสี่ยงของเครื่องมือความปลอดภัย
      • ผู้ใช้ที่ไม่มีประสบการณ์ด้าน infosec สงสัยอย่างจริงจังว่าเครื่องมือแบบนี้อาจมีความเสี่ยงในการส่งข้อมูลกลับไปยังผู้พัฒนาและบันทึกทุกอย่างที่พบระหว่างการค้นคว้าหรือไม่

  • Full permissions for a user is blatant negligence.

    • คำวิจารณ์เรื่องการให้สิทธิ์เต็มแก่ผู้ใช้
      • วิจารณ์ว่าการให้สิทธิ์เต็มแก่ผู้ใช้นั้นเป็นความประมาทอย่างชัดเจน

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • คำถามเรื่องความรับผิดทางกฎหมายหากช่องโหว่ถูกนำไปใช้โจมตี
      • ถามว่าหากช่องโหว่นี้ถูกนำไปใช้จริง จนผู้สมัครงานของ Target, Subway, Dunkin และรายอื่น ๆ ถูกสวมชื่อไปก่ออาชญากรรมทางการเงินหรือบัตรเครดิต บริษัทใหญ่เหล่านั้นจะต้องรับผิดหรือไม่ จากการที่ไม่ได้ทำ due diligence กับ chattr.ai อย่างเพียงพอ

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • ข้อสงสัยเกี่ยวกับผู้ค้นพบช่องโหว่
      • ตั้งคำถามว่ามีใครบอกได้หรือไม่ว่าคนกลุ่มนี้เป็นผู้พบช่องโหว่นี้เป็นรายแรก หรืออย่างน้อยเป็นกลุ่มแรกที่พบแล้วลงมือทำอะไรสักอย่างเพื่อให้มันถูกแก้ไข

  • I thought there was a US law now where breaches like this have to be reported?

    • การกล่าวถึงหน้าที่รายงานข้อมูลรั่วไหล
      • พูดว่าตนเข้าใจว่าตอนนี้ในสหรัฐฯ มีกฎหมายที่บังคับให้ต้องรายงานเหตุข้อมูลรั่วไหลลักษณะนี้

  • Firebase is a shitshow.

    • ความเห็นเชิงวิจารณ์ต่อ Firebase
      • แสดงความเห็นเชิงลบต่อ Firebase โดยบอกว่าเคยใช้งานจริงและทำโปรเจกต์กับมัน แต่พบว่ามีปัญหาหลายอย่างนอกเหนือจากเรื่องช่องโหว่ความปลอดภัย

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • คำชื่นชมต่อการเขียนบทความ
      • ชื่นชมว่าบทความเขียนได้ดี มีชั้นเชิงในการสื่อสาร และโชคดีที่มี HN มาช่วยเติมคำชมที่ขาดหายไป พร้อมตำหนิว่า chattr เป็นบริษัทที่ไม่เป็นมืออาชีพมาก

  • Article gets to the point very quickly, nice.

    • คำชมต่อสไตล์การเขียนที่ตรงประเด็น
      • ชมว่าบทความเข้าเรื่องและสื่อสารประเด็นหลักได้อย่างรวดเร็ว