- นักวิจัยด้านความปลอดภัยกำลังไล่ตรวจไซต์ TLD
.aiและ JS bundles เพื่อหา ตัวแปรเริ่มต้นของ Firebase แล้วพบการตั้งค่าที่ Chattr.ai เปิดเผยไว้ - Chattr.ai เป็นระบบสรรหาบุคลากรด้วย AI ที่โฆษณาว่าช่วย ลดเวลาการจ้างงานได้ 88% และถูกใช้งานโดยบริษัทฟาสต์ฟู้ดและผู้จ้างงานรายชั่วโมงหลายราย เช่น Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys เป็นต้น
- แม้การเข้าถึงจะถูกบล็อกหากมีเพียงการตั้งค่า Firebase จาก JS bundle แต่เมื่อสร้างผู้ใช้ใหม่ผ่าน ฟังก์ชันลงทะเบียน ของ Firebase สิทธิ์อ่าน/เขียน DB ก็เปิดออก
- ข้อมูลที่ถูกเปิดเผยมีทั้งชื่อ หมายเลขโทรศัพท์ อีเมล รหัสผ่านแบบข้อความธรรมดา ของบางบัญชี ตำแหน่งสาขา ข้อความลับ และข้อมูลกะการทำงาน โดยส่งผลกระทบต่อพนักงาน Chattr, ผู้จัดการแฟรนไชส์ และผู้สมัครงาน
- ช่องโหว่ถูกพบเมื่อ 01/06, รายงานเมื่อ 01/09, แพตช์เมื่อ 01/10 และทิกเก็ตซัพพอร์ตถูกปิดเมื่อ 01/11 แต่ไม่มีคำขอบคุณหรือการติดต่อเพิ่มเติมแม้จะร้องขอไว้อย่างชัดเจน
จากการสแกน Firebase สู่ Chattr.ai
- นักวิจัยเพิ่งรันสคริปต์เพื่อหา ข้อมูลรับรอง Firebase ที่ถูกเปิดเผย ในสตาร์ทอัพ AI หลายร้อยแห่ง
- ใช้รายชื่อไซต์ TLD
.aiที่เผยแพร่ต่อสาธารณะ - แยกวิเคราะห์ข้อมูลไซต์และ
.jsbundles ที่ถูกอ้างอิง เพื่อค้นหาการอ้างอิงตัวแปรเริ่มต้นของ Firebase
- ใช้รายชื่อไซต์ TLD
- เขาต้องการดูว่าระหว่างการเร่งปล่อยผลิตภัณฑ์ อาจมีใครไม่ได้ติดตั้ง กฎความปลอดภัย อย่างเหมาะสมหรือไม่ และในความเป็นจริงก็พบปัญหาที่ร้ายแรงกว่า
- Chattr.ai เป็นระบบสรรหาบุคลากรด้วย AI ที่โฆษณาว่าช่วย ลดเวลาการจ้างงานใหม่ได้ 88%
- คำกล่าวอ้างเรื่องการลดเวลาจ้างงาน: {p:88}
- ตัวอย่างแบรนด์ที่ระบุว่าใช้บริการมีดังนี้
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
วิธีเพิ่มสิทธิ์และข้อมูลที่ถูกเปิดเผย
- เมื่อนำการตั้งค่า Firebase จาก JS bundle ไปใส่ใน Firepwn ตอนแรกจะเริ่มต้นในสถานะที่ไม่มีสิทธิ์
- หลังจากนั้น เมื่อสร้างผู้ใช้ใหม่ผ่านฟังก์ชันลงทะเบียนของ Firebase แม้จะสมัครบนไซต์ Chattr.ai ไม่ได้ แต่กลับได้ สิทธิ์อ่าน/เขียนทั้งหมด ใน Firebase DB
- ข้อมูลที่ถูกเปิดเผยมีดังนี้
- ชื่อ
- หมายเลขโทรศัพท์
- อีเมล
- รหัสผ่านแบบข้อความธรรมดา ของบางบัญชี
- ตำแหน่งสาขา
- ข้อความลับ
- ข้อมูลกะการทำงาน
- กลุ่มที่ได้รับผลกระทบคือพนักงาน Chattr, ผู้จัดการแฟรนไชส์ และผู้สมัครงาน
การเปิดเผยและกำหนดการแพตช์
- 01/06: พบช่องโหว่
- 01/09: ส่งรายงานที่เขียนขึ้นไปยัง Chattr.ai ทางอีเมล
- 01/10: แพตช์ช่องโหว่
- 01/11: ปิดทิกเก็ตซัพพอร์ต โดยไม่มีคำขอบคุณหรือการติดต่อเพิ่มเติมแม้จะร้องขอไว้อย่างชัดเจน
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ไม่ชัดเจนว่าผู้เขียนได้รับมอบหมายให้ทำ penetration test นี้หรือไม่ หรือเป็นบุคคลที่สามสายกองโจรที่มีเจตนาดี
ถ้าเป็นกรณีหลัง ก็สงสัยว่าเขากล้าขนาดนี้ได้อย่างไร chattr.ai มีนโยบาย responsible disclosure ไหม? ผมคิดว่าหากไม่มีเจตนาก่ออันตรายและรายงานสิ่งที่พบ ใครก็ควรมีอิสระในการทำ penetration test ได้ น่าเสียดายที่หลายบริษัทแม้จะเป็นเจตนาดี ก็ยังตื่นกลัวและไปทางดำเนินคดีทางกฎหมาย
แม้จะเป็นบุคคลที่สามที่มีเจตนาดี บริษัทก็ยังอาจดำเนินคดีทางกฎหมายได้ แต่ในกรณีแบบนั้น บ่อยครั้งบริษัทก็จบลงด้วยการถูกทำให้อับอายต่อสาธารณะพอสมควร
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
บริษัทที่ถูกแฮ็กก็มีเจตนาร้ายมากพออยู่แล้ว ดังนั้นควรไปโฟกัสทางนั้นมากกว่า
ในไทม์ไลน์ไม่มี เวลาที่บทความขึ้นออนไลน์
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
ตอนนี้ถ้าเข้าไปที่ลิงก์ จะได้ Prometheus metrics กลับมาเต็มไปหมด น่าสนใจดี
ทราฟฟิกเข้าเว็บเยอะเลยต้องวิเคราะห์
สงสัยว่านี่เข้าข่าย authorized access ตามที่ CFAA พูดถึงหรือเปล่า
อยากรู้ว่าขอบเขตอยู่ตรงไหน
คิดดูอีกที คนที่ตกอยู่ในความเสี่ยงจริง ๆ น่าจะเป็นคนที่น่าสงสารซึ่งพยายามสมัครงานกับบริษัทแบบนี้ด้วย ค่าแรงรายชั่วโมงน้อยนิด
ผมไม่ค่อยเข้าใจว่านี่เป็นการ “p0wn” บริษัทเองอย่างไร
ถ้าดูหน้านี้ใน Safari มันดูเหมือนเอกสารข้อความธรรมดา
ถ้าไม่เห็นรูปภาพ ก็น่าจะใช้เบราว์เซอร์เก่าอยู่ เท่าที่ผมรู้ เบราว์เซอร์เวอร์ชันปัจจุบันทั้งหมดรองรับแล้ว ยกเว้น Internet Explorer และถ้ายังใช้ Internet Explorer อยู่ ก็ขอให้พระเจ้าคุ้มครอง
[0] https://caniuse.com/avif
Safari เวอร์ชันล่าสุดรองรับภาพ AVIF และเมื่อปีที่แล้วก็มีการแก้ ช่องโหว่ remote code execution หลายรายการใน Safari ที่มี exploit จริงถูกเปิดเผยแล้ว