2 pontos por GN⁺ 2024-01-10 | 1 comentários | Compartilhar no WhatsApp
  • Enquanto examinava sites com TLD `.ai`` e bundles JS em busca de variáveis de inicialização do Firebase, um pesquisador de segurança encontrou uma configuração exposta da Chattr.ai
  • A Chattr.ai era um sistema de recrutamento com IA promovido por reduzir em 88% o tempo de contratação, usado por várias empresas de fast-food e de trabalho por hora, como Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target e Wendys
  • Só com a configuração do Firebase no bundle JS o acesso era bloqueado, mas ao criar um novo usuário pela função de registro do Firebase, foram liberadas permissões de leitura e escrita no banco de dados
  • As informações expostas incluíam nomes, telefones, e-mails, senhas em texto puro de algumas contas, localização de unidades, mensagens confidenciais e informações de turnos de trabalho, afetando funcionários da Chattr, gerentes de franquia e candidatos a vagas
  • A vulnerabilidade foi descoberta em 06/01, reportada em 09/01 e corrigida em 10/01; em 11/01 o ticket de suporte foi fechado, mas não houve agradecimento nem contato adicional mesmo após pedido explícito

Do scan de Firebase à Chattr.ai

  • O pesquisador executou recentemente um script para encontrar credenciais expostas do Firebase em centenas de startups de IA
    • Usou uma lista pública de sites com TLD .ai
    • Fez parsing dos dados dos sites e dos bundles .js referenciados para localizar referências a variáveis de inicialização do Firebase
  • Ele tentava encontrar casos em que alguém, no processo de lançar o produto rapidamente, talvez não tivesse implementado corretamente as regras de segurança, e acabou encontrando um problema ainda mais grave
  • A Chattr.ai era um sistema de recrutamento com IA que anunciava reduzir em 88% o tempo necessário para novas contratações
    • Alegação de redução no tempo de contratação: {p:88}
  • Como exemplos de empresas usuárias do serviço, os seguintes nomes foram listados
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Método de escalada de privilégios e dados expostos

  • Ao inserir a configuração do Firebase obtida do bundle JS no Firepwn, inicialmente o acesso começava sem permissões
  • Depois, ao criar um novo usuário pela função de registro do Firebase, mesmo sem ser possível se cadastrar pelo site da Chattr.ai, o banco de dados Firebase passava a conceder permissão total de leitura/escrita
  • Os dados expostos incluíam
    • nomes
    • telefones
    • e-mails
    • senhas em texto puro de algumas contas
    • localização de unidades
    • mensagens confidenciais
    • informações de turnos de trabalho
  • Os grupos afetados eram funcionários da Chattr, gerentes de franquia e candidatos a emprego

Cronograma de divulgação e correção

  • 06/01: vulnerabilidade descoberta
  • 09/01: relatório enviado por e-mail à Chattr.ai
  • 10/01: vulnerabilidade corrigida
  • 11/01: ticket de suporte encerrado, sem agradecimento nem contato adicional apesar do pedido explícito

1 comentários

 
GN⁺ 2024-01-10
Comentários do Hacker News
  • Não está claro se o autor foi contratado para fazer este teste de invasão ou se era um terceiro de boa-fé agindo por conta própria
    Se for o segundo caso, fico curioso sobre como ele conseguiu ser tão ousado. A chattr.ai tem uma política de divulgação responsável? Acho que qualquer pessoa deveria poder fazer testes de invasão livremente se não tiver intenção de causar dano e reportar o que encontrou. Infelizmente, muitas empresas entram em pânico e partem para medidas legais, mesmo quando houve boa-fé

    • Pela parte que diz “eu estava procurando credenciais do Firebase expostas em centenas de startups de IA recentemente”, isso parece bastante claro. Ele rodou um script para escanear centenas de startups
      Mesmo no caso de um terceiro de boa-fé, a empresa ainda pode tomar medidas legais, mas nesses casos muitas vezes isso acaba só fazendo a empresa passar vergonha publicamente
    • A web já é insegura o suficiente, então eu só quero fazer a minha parte para torná-la um pouco mais segura
    • Incidentes assim às vezes fazem com que os órgãos reguladores passem a examinar a empresa mais de perto
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Fico curioso se você pensa o mesmo sobre segurança física. Se alguém andar ao redor de um prédio, olhar pelas janelas, arrombar a fechadura da porta e até caminhar um pouco lá dentro sem roubar nada, isso estaria tudo bem?
    • Sem regulação adequada, padrões de engenharia e multas de verdade, no fim a única democracia que existe é a das pessoas agindo diretamente
      As empresas invadidas também têm culpa suficiente, então o foco deveria estar mais nelas
  • Está faltando na linha do tempo o momento em que o texto foi publicado online

  • No momento, acessar o link retorna um monte de métricas do Prometheus. Interessante

    • Agora não deve mais acontecer. Foi um momento de “estávamos implantando em produção”
      O site recebeu muito tráfego, então precisávamos de análise
  • Fico pensando se isso se enquadra em acesso autorizado no CFAA
    Queria saber onde fica o limite

  • Pensando de novo, as pessoas realmente em risco parecem ser os coitados tentando conseguir emprego nessas empresas por um salário por hora miserável
    Não entendo muito bem como isso seria “p0wn” a empresa em si

  • Se você abrir esta página no Safari, ela parece só um documento de texto

    • As imagens estão em formato AVIF. É para ter vantagem de compressão 2x em relação ao PNG, mantendo qualidade superior à do JPG
      Se as imagens não aparecem, você provavelmente está usando um navegador antigo. Até onde eu sei, todos os navegadores em versões atuais, exceto o Internet Explorer, suportam isso. E, se você está usando Internet Explorer, que Deus tenha piedade de você
      [0] https://caniuse.com/avif
    • No Safari 16.1 do mac, não aparece assim
    • Como é um texto sobre segurança, fica o lembrete do dia para atualizar o navegador se você quiser ficar seguro na internet
      O Safari mais recente suporta imagens AVIF, e no ano passado várias vulnerabilidades de execução remota de código com exploração real conhecida no Safari foram corrigidas