O incidente que hackeou metade das redes de fast-food dos EUA ao mesmo tempo

 (mrbruh.com)
2 pontos por GN⁺ 2024-01-10 | 1 comentários | Compartilhar no WhatsApp

Como metade das redes de fast-food dos EUA foi hackeada ao mesmo tempo

  • Um alerta de conclusão da execução do script apareceu no console com um som animado. Esse script procurava sites, entre as centenas de startups de IA criadas recentemente, com credenciais do Firebase expostas.
  • Pesquisou publicamente uma lista de sites que usam o domínio de topo .ai e encontrou variáveis de inicialização do Firebase nos dados dos sites e nos bundles .js referenciados.
  • A expectativa era de que houvesse casos em que, por estarem apressados para lançar o produto, não tivessem implementado regras de segurança adequadas.

Conhecendo a Chattr.ai

  • A Chattr.ai é um sistema de contratação com IA que afirma reduzir o tempo de recrutamento em 88%.
  • Fornece serviços para redes de fast-food em todo os Estados Unidos e outras empresas que contratam trabalhadores por hora.
  • Inclui Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target e Wendys.

Descoberta da vulnerabilidade

  • Ao colocar a configuração do Firebase encontrada no bundle JS no Firepwn, inicialmente não havia permissão.
  • Ao criar um novo usuário usando a função de cadastro do Firebase, foi possível obter permissões completas de leitura e escrita no banco de dados do Firebase.
  • Os dados expostos incluíam nomes, telefones, e-mails, senhas em texto puro de algumas contas, localização de filiais, mensagens confidenciais, escalas de trabalho e mais.
  • Informações de funcionários da Chattr, gerentes de franquia e candidatos a emprego foram expostas.

A situação piora ainda mais

  • Ao obter a lista de usuários administradores em /orgs/0/users e adicionar uma nova entrada, foi possível ter acesso completo ao painel de administração.
  • Isso permitia mais controle sobre o sistema, incluindo aprovar ou rejeitar candidatos ou reembolsar valores pagos à Chattr.

Linha do tempo (DD/MM)

  • 06/01 - Vulnerabilidade descoberta
  • 09/01 - Documentação concluída e e-mail enviado
  • 10/01 - Vulnerabilidade corrigida
  • Até agora, ainda não houve contato nem agradecimento. Se houver retorno, este texto será atualizado.

Créditos

  • Agradecimentos aos amigos que ajudaram neste pentest e na divulgação responsável.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Feito com Hugo Bear, hospedado na Privex.

Opinião do GN⁺

  • Este incidente mostra a gravidade das vulnerabilidades que podem surgir quando novas empresas de tecnologia em IA não dão atenção suficiente à segurança.
  • Serve como um alerta para reconhecer os riscos escondidos por trás da conveniência oferecida por serviços como a Chattr.ai.
  • É um caso que mostra o tamanho do dano que pode ser causado ao lançar um serviço sem medidas de segurança adequadas, ajudando a aumentar a conscientização sobre segurança.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-01-10
Comentários do Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Linha do tempo, da descoberta ao patch

      • 6 de janeiro: vulnerabilidade descoberta
      • 9 de janeiro: documentação concluída e e-mail enviado
      • 10 de janeiro: vulnerabilidade corrigida
      • Avalia positivamente o fato de a vulnerabilidade ter sido corrigida em apenas um dia.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Opinião sobre o atraso no reporte após a descoberta da vulnerabilidade
      • Considera curioso que o autor tenha descoberto uma grande vulnerabilidade, mas esperado alguns dias para reportá-la a fim de terminar um bom relatório.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Relato de experiência com HackerOne
      • Compartilha a experiência de participantes que encontravam uma pequena vulnerabilidade e ficavam meses sem reportá-la enquanto tentavam transformá-la em algo maior para receber uma recompensa mais alta, só para depois descobrirem que ela já havia sido corrigida e ficarem furiosos.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Dúvida sobre o contexto em que o pentest foi feito
      • Não está claro se o autor foi contratado oficialmente para fazer esse pentest ou se agiu por conta própria. Também questiona se a chattr.ai tem uma política de divulgação responsável.

  • How much would this leak go for in the darknet?

    • Pergunta sobre o valor das informações vazadas na darknet
      • Pergunta quanto esse tipo de informação vazada valeria na darknet.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Menção, no post de Eva, a uma ferramenta para explorar vulnerabilidades no Firebase

      • Diz que, como sabiam pouco sobre Firebase na época, procuraram uma ferramenta para verificar se havia alguma vulnerabilidade óbvia e encontraram o firepwn, que pareceu uma boa ferramenta com GUI, então simplesmente inseriram os dados do Firebase da chattr.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Pergunta sobre os riscos de ferramentas de segurança
      • Uma pessoa sem experiência em infosec pergunta sinceramente se não haveria o risco de uma ferramenta assim enviar dados para fora e registrar tudo o que fosse encontrado durante a pesquisa.

  • Full permissions for a user is blatant negligence.

    • Crítica à concessão de permissões totais a um usuário
      • Critica o fato de conceder permissões totais a um usuário, classificando isso como negligência evidente.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Pergunta sobre responsabilidade legal caso a vulnerabilidade fosse explorada
      • Pergunta se, caso a vulnerabilidade tivesse sido explorada e candidatos a vagas da Target, Subway, Dunkin e outras sofressem fraudes bancárias ou de crédito em seus nomes, essas grandes empresas poderiam ser responsabilizadas por não terem feito a devida diligência sobre a chatter.ai.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Questionamento sobre os descobridores da vulnerabilidade
      • Questiona quem pode afirmar que eles foram os primeiros a descobrir a vulnerabilidade, sugerindo que talvez tenham sido apenas os primeiros a descobri-la e tomar alguma providência para corrigi-la.

  • I thought there was a US law now where breaches like this have to be reported?

    • Menção à obrigação de reportar vazamentos de dados
      • Comenta que achava que agora existia uma lei nos EUA exigindo o reporte de vazamentos desse tipo.

  • Firebase is a shitshow.

    • Opinião crítica sobre o Firebase
      • Apresenta uma opinião bastante crítica sobre o Firebase, dizendo que já o utilizou de fato em projetos e que, além das vulnerabilidades de segurança, há vários outros problemas.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Avaliação positiva da redação do artigo
      • Elogia o artigo por ter sido bem feito, bem escrito e por demonstrar muito tato, além de apontar a postura pouco profissional da chattr.

  • Article gets to the point very quickly, nice.

    • Avaliação positiva do estilo direto do artigo
      • Elogia o fato de o artigo ir rapidamente ao ponto principal.