- Enquanto examinava sites com TLD `.ai`` e bundles JS em busca de variáveis de inicialização do Firebase, um pesquisador de segurança encontrou uma configuração exposta da Chattr.ai
- A Chattr.ai era um sistema de recrutamento com IA promovido por reduzir em 88% o tempo de contratação, usado por várias empresas de fast-food e de trabalho por hora, como Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target e Wendys
- Só com a configuração do Firebase no bundle JS o acesso era bloqueado, mas ao criar um novo usuário pela função de registro do Firebase, foram liberadas permissões de leitura e escrita no banco de dados
- As informações expostas incluíam nomes, telefones, e-mails, senhas em texto puro de algumas contas, localização de unidades, mensagens confidenciais e informações de turnos de trabalho, afetando funcionários da Chattr, gerentes de franquia e candidatos a vagas
- A vulnerabilidade foi descoberta em 06/01, reportada em 09/01 e corrigida em 10/01; em 11/01 o ticket de suporte foi fechado, mas não houve agradecimento nem contato adicional mesmo após pedido explícito
Do scan de Firebase à Chattr.ai
- O pesquisador executou recentemente um script para encontrar credenciais expostas do Firebase em centenas de startups de IA
- Usou uma lista pública de sites com TLD
.ai - Fez parsing dos dados dos sites e dos bundles
.jsreferenciados para localizar referências a variáveis de inicialização do Firebase
- Usou uma lista pública de sites com TLD
- Ele tentava encontrar casos em que alguém, no processo de lançar o produto rapidamente, talvez não tivesse implementado corretamente as regras de segurança, e acabou encontrando um problema ainda mais grave
- A Chattr.ai era um sistema de recrutamento com IA que anunciava reduzir em 88% o tempo necessário para novas contratações
- Alegação de redução no tempo de contratação: {p:88}
- Como exemplos de empresas usuárias do serviço, os seguintes nomes foram listados
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Método de escalada de privilégios e dados expostos
- Ao inserir a configuração do Firebase obtida do bundle JS no Firepwn, inicialmente o acesso começava sem permissões
- Depois, ao criar um novo usuário pela função de registro do Firebase, mesmo sem ser possível se cadastrar pelo site da Chattr.ai, o banco de dados Firebase passava a conceder permissão total de leitura/escrita
- Os dados expostos incluíam
- nomes
- telefones
- e-mails
- senhas em texto puro de algumas contas
- localização de unidades
- mensagens confidenciais
- informações de turnos de trabalho
- Os grupos afetados eram funcionários da Chattr, gerentes de franquia e candidatos a emprego
Cronograma de divulgação e correção
- 06/01: vulnerabilidade descoberta
- 09/01: relatório enviado por e-mail à Chattr.ai
- 10/01: vulnerabilidade corrigida
- 11/01: ticket de suporte encerrado, sem agradecimento nem contato adicional apesar do pedido explícito
1 comentários
Comentários do Hacker News
Não está claro se o autor foi contratado para fazer este teste de invasão ou se era um terceiro de boa-fé agindo por conta própria
Se for o segundo caso, fico curioso sobre como ele conseguiu ser tão ousado. A chattr.ai tem uma política de divulgação responsável? Acho que qualquer pessoa deveria poder fazer testes de invasão livremente se não tiver intenção de causar dano e reportar o que encontrou. Infelizmente, muitas empresas entram em pânico e partem para medidas legais, mesmo quando houve boa-fé
Mesmo no caso de um terceiro de boa-fé, a empresa ainda pode tomar medidas legais, mas nesses casos muitas vezes isso acaba só fazendo a empresa passar vergonha publicamente
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
As empresas invadidas também têm culpa suficiente, então o foco deveria estar mais nelas
Está faltando na linha do tempo o momento em que o texto foi publicado online
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
No momento, acessar o link retorna um monte de métricas do Prometheus. Interessante
O site recebeu muito tráfego, então precisávamos de análise
Fico pensando se isso se enquadra em acesso autorizado no CFAA
Queria saber onde fica o limite
Pensando de novo, as pessoas realmente em risco parecem ser os coitados tentando conseguir emprego nessas empresas por um salário por hora miserável
Não entendo muito bem como isso seria “p0wn” a empresa em si
Se você abrir esta página no Safari, ela parece só um documento de texto
Se as imagens não aparecem, você provavelmente está usando um navegador antigo. Até onde eu sei, todos os navegadores em versões atuais, exceto o Internet Explorer, suportam isso. E, se você está usando Internet Explorer, que Deus tenha piedade de você
[0] https://caniuse.com/avif
O Safari mais recente suporta imagens AVIF, e no ano passado várias vulnerabilidades de execução remota de código com exploração real conhecida no Safari foram corrigidas