- Ein Sicherheitsforscher durchsuchte
.ai-TLD-Websites und JS-Bundles nach Firebase-Initialisierungsvariablen und stieß dabei auf eine offengelegte Konfiguration von Chattr.ai - Chattr.ai ist ein KI-Recruiting-System, das damit wirbt, die Zeit bis zur Einstellung um 88 % zu verkürzen; genutzt wurde es von mehreren Fast-Food- und Stundenlohn-Arbeitgebern wie Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target und Wendys
- Allein mit der Firebase-Konfiguration aus dem JS-Bundle war der Zugriff blockiert, doch nachdem über die Registrierungsfunktion von Firebase ein neuer Nutzer angelegt wurde, öffneten sich Lese- und Schreibrechte für die Datenbank
- Zu den offengelegten Informationen gehörten Namen, Telefonnummern, E-Mail-Adressen, bei einigen Accounts Passwörter im Klartext, Filialstandorte, vertrauliche Nachrichten und Schichtinformationen; betroffen waren Chattr-Mitarbeiter, Franchise-Manager und Bewerber
- Die Schwachstelle wurde am 06.01. entdeckt, am 09.01. gemeldet und am 10.01. gepatcht; am 11.01. wurde das Support-Ticket geschlossen, doch trotz ausdrücklicher Bitte gab es weder Dank noch weitere Kontaktaufnahme
Vom Firebase-Scan zu Chattr.ai
- Der Forscher führte kürzlich ein Skript aus, um bei Hunderten von KI-Startups nach offengelegten Firebase-Zugangsdaten zu suchen
- Verwendet wurde eine öffentliche Liste von
.ai-TLD-Websites - Website-Daten und referenzierte
.js-Bundles wurden geparst, um Referenzen auf Firebase-Initialisierungsvariablen zu finden
- Verwendet wurde eine öffentliche Liste von
- Er wollte herausfinden, ob beim schnellen Produktlaunch möglicherweise jemand die Security Rules nicht korrekt implementiert hatte; tatsächlich zeigte sich ein noch schwerwiegenderes Problem
- Chattr.ai ist ein KI-Recruiting-System, das damit wirbt, die Zeit bis zur Einstellung um 88 % zu verkürzen
- Behauptete Verkürzung der Einstellungszeit: {p:88}
- Als Beispiele für Unternehmen, die den Dienst nutzen, wurden folgende Marken aufgeführt
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Methode zur Rechteausweitung und offengelegte Daten
- Wenn man die aus dem JS-Bundle entnommene Firebase-Konfiguration in Firepwn eingab, startete man zunächst ohne Berechtigungen
- Nachdem anschließend über die Registrierungsfunktion von Firebase ein neuer Nutzer angelegt wurde, erhielt man vollständige Lese-/Schreibrechte auf die Firebase-Datenbank, obwohl man sich auf der Chattr.ai-Website nicht registrieren konnte
- Die offengelegten Daten umfassten unter anderem
- Namen
- Telefonnummern
- E-Mail-Adressen
- bei einigen Accounts Passwörter im Klartext
- Filialstandorte
- vertrauliche Nachrichten
- Schichtinformationen
- Betroffen waren Chattr-Mitarbeiter, Franchise-Manager und Bewerber
Offenlegung und Patch-Zeitplan
- 06.01.: Schwachstelle entdeckt
- 09.01.: Der verfasste Bericht wurde per E-Mail an Chattr.ai geschickt
- 10.01.: Schwachstelle gepatcht
- 11.01.: Support-Ticket geschlossen; trotz ausdrücklicher Bitte gab es weder Dank noch weitere Kontaktaufnahme
1 Kommentare
Hacker-News-Kommentare
Es ist unklar, ob der Autor mit diesem Penetrationstest beauftragt wurde oder ob er als gutmeinender Dritter im Guerilla-Stil handelte.
Falls Letzteres zutrifft, frage ich mich, wie man dabei so kühn sein kann. Hat chattr.ai eine Responsible-Disclosure-Richtlinie? Ich finde, jeder sollte frei Penetrationstests durchführen dürfen, solange keine Schädigungsabsicht besteht und die Erkenntnisse gemeldet werden. Leider reagieren viele Unternehmen selbst bei guten Absichten verängstigt und mit rechtlichen Schritten.
Auch wenn es ein gutmeinender Dritter ist, kann ein Unternehmen rechtlich dagegen vorgehen, aber in solchen Fällen endet es oft damit, dass das Unternehmen sich öffentlich ziemlich blamiert.
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Die gehackten Unternehmen haben genügend Böswilligkeit auf ihrer Seite, daher sollte man sich eher darauf konzentrieren.
In der Timeline fehlt der Zeitpunkt, zu dem der Beitrag online ging.
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
Wenn man den Link derzeit aufruft, bekommt man eine Menge Prometheus-Metriken zurück. Interessant.
Die Seite bekam viel Traffic, daher brauchte ich Analysen.
Ich frage mich, ob das unter den Begriff autorisierter Zugriff im CFAA fällt.
Ich würde gern wissen, wo die Grenze liegt.
Wenn ich noch einmal darüber nachdenke, scheinen die tatsächlich gefährdeten Menschen eher die armen Leute zu sein, die versuchen, bei solchen Unternehmen für einen Hungerlohn pro Stunde einen Job zu bekommen.
Ich verstehe nicht ganz, wie das das Unternehmen selbst „p0wned“.
Wenn ich diese Seite in Safari ansehe, wirkt sie einfach wie ein Textdokument.
Wenn du die Bilder nicht sehen kannst, verwendest du wahrscheinlich einen veralteten Browser. Soweit ich weiß, unterstützen alle aktuellen Browser-Versionen außer Internet Explorer das. Und wenn du Internet Explorer benutzt, möge Gott dir beistehen.
[0] https://caniuse.com/avif
Aktuelle Safari-Versionen unterstützen AVIF-Bilder, und mehrere tatsächlich ausnutzbare Remote-Code-Execution-Schwachstellen in Safari wurden letztes Jahr behoben.