2 Punkte von GN⁺ 2024-01-10 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Sicherheitsforscher durchsuchte .ai-TLD-Websites und JS-Bundles nach Firebase-Initialisierungsvariablen und stieß dabei auf eine offengelegte Konfiguration von Chattr.ai
  • Chattr.ai ist ein KI-Recruiting-System, das damit wirbt, die Zeit bis zur Einstellung um 88 % zu verkürzen; genutzt wurde es von mehreren Fast-Food- und Stundenlohn-Arbeitgebern wie Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target und Wendys
  • Allein mit der Firebase-Konfiguration aus dem JS-Bundle war der Zugriff blockiert, doch nachdem über die Registrierungsfunktion von Firebase ein neuer Nutzer angelegt wurde, öffneten sich Lese- und Schreibrechte für die Datenbank
  • Zu den offengelegten Informationen gehörten Namen, Telefonnummern, E-Mail-Adressen, bei einigen Accounts Passwörter im Klartext, Filialstandorte, vertrauliche Nachrichten und Schichtinformationen; betroffen waren Chattr-Mitarbeiter, Franchise-Manager und Bewerber
  • Die Schwachstelle wurde am 06.01. entdeckt, am 09.01. gemeldet und am 10.01. gepatcht; am 11.01. wurde das Support-Ticket geschlossen, doch trotz ausdrücklicher Bitte gab es weder Dank noch weitere Kontaktaufnahme

Vom Firebase-Scan zu Chattr.ai

  • Der Forscher führte kürzlich ein Skript aus, um bei Hunderten von KI-Startups nach offengelegten Firebase-Zugangsdaten zu suchen
    • Verwendet wurde eine öffentliche Liste von .ai-TLD-Websites
    • Website-Daten und referenzierte .js-Bundles wurden geparst, um Referenzen auf Firebase-Initialisierungsvariablen zu finden
  • Er wollte herausfinden, ob beim schnellen Produktlaunch möglicherweise jemand die Security Rules nicht korrekt implementiert hatte; tatsächlich zeigte sich ein noch schwerwiegenderes Problem
  • Chattr.ai ist ein KI-Recruiting-System, das damit wirbt, die Zeit bis zur Einstellung um 88 % zu verkürzen
    • Behauptete Verkürzung der Einstellungszeit: {p:88}
  • Als Beispiele für Unternehmen, die den Dienst nutzen, wurden folgende Marken aufgeführt
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Methode zur Rechteausweitung und offengelegte Daten

  • Wenn man die aus dem JS-Bundle entnommene Firebase-Konfiguration in Firepwn eingab, startete man zunächst ohne Berechtigungen
  • Nachdem anschließend über die Registrierungsfunktion von Firebase ein neuer Nutzer angelegt wurde, erhielt man vollständige Lese-/Schreibrechte auf die Firebase-Datenbank, obwohl man sich auf der Chattr.ai-Website nicht registrieren konnte
  • Die offengelegten Daten umfassten unter anderem
    • Namen
    • Telefonnummern
    • E-Mail-Adressen
    • bei einigen Accounts Passwörter im Klartext
    • Filialstandorte
    • vertrauliche Nachrichten
    • Schichtinformationen
  • Betroffen waren Chattr-Mitarbeiter, Franchise-Manager und Bewerber

Offenlegung und Patch-Zeitplan

  • 06.01.: Schwachstelle entdeckt
  • 09.01.: Der verfasste Bericht wurde per E-Mail an Chattr.ai geschickt
  • 10.01.: Schwachstelle gepatcht
  • 11.01.: Support-Ticket geschlossen; trotz ausdrücklicher Bitte gab es weder Dank noch weitere Kontaktaufnahme

1 Kommentare

 
GN⁺ 2024-01-10
Hacker-News-Kommentare
  • Es ist unklar, ob der Autor mit diesem Penetrationstest beauftragt wurde oder ob er als gutmeinender Dritter im Guerilla-Stil handelte.
    Falls Letzteres zutrifft, frage ich mich, wie man dabei so kühn sein kann. Hat chattr.ai eine Responsible-Disclosure-Richtlinie? Ich finde, jeder sollte frei Penetrationstests durchführen dürfen, solange keine Schädigungsabsicht besteht und die Erkenntnisse gemeldet werden. Leider reagieren viele Unternehmen selbst bei guten Absichten verängstigt und mit rechtlichen Schritten.

    • Die Passage „in den letzten Monaten nach offengelegten Firebase-Anmeldedaten in Hunderten von AI-Startups gesucht“ macht es ziemlich eindeutig. Es wurde ein Skript ausgeführt, das Hunderte Startups scannt.
      Auch wenn es ein gutmeinender Dritter ist, kann ein Unternehmen rechtlich dagegen vorgehen, aber in solchen Fällen endet es oft damit, dass das Unternehmen sich öffentlich ziemlich blamiert.
    • Das Web ist ohnehin schon unsicher genug, ich möchte einfach meinen Teil dazu beitragen, es wenigstens ein bisschen sicherer zu machen.
    • Solche Vorfälle führen manchmal dazu, dass Aufsichtsbehörden Unternehmen genauer unter die Lupe nehmen.
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Ich frage mich, ob du bei physischer Sicherheit genauso denkst. Wäre es also okay, wenn jemand um ein Gebäude herumläuft, durch die Fenster schaut, Türschlösser knackt und sogar ein wenig drinnen herumläuft, solange nichts gestohlen wird?
    • Ohne ordentliche Regulierung, technische Standards und spürbare Geldstrafen bleibt am Ende die einzige existierende Demokratie, dass Menschen selbst handeln.
      Die gehackten Unternehmen haben genügend Böswilligkeit auf ihrer Seite, daher sollte man sich eher darauf konzentrieren.
  • In der Timeline fehlt der Zeitpunkt, zu dem der Beitrag online ging.

  • Wenn man den Link derzeit aufruft, bekommt man eine Menge Prometheus-Metriken zurück. Interessant.

    • Jetzt wahrscheinlich nicht mehr. Das war genau der Moment, als ich es „in die Produktion deployt“ habe.
      Die Seite bekam viel Traffic, daher brauchte ich Analysen.
  • Ich frage mich, ob das unter den Begriff autorisierter Zugriff im CFAA fällt.
    Ich würde gern wissen, wo die Grenze liegt.

  • Wenn ich noch einmal darüber nachdenke, scheinen die tatsächlich gefährdeten Menschen eher die armen Leute zu sein, die versuchen, bei solchen Unternehmen für einen Hungerlohn pro Stunde einen Job zu bekommen.
    Ich verstehe nicht ganz, wie das das Unternehmen selbst „p0wned“.

  • Wenn ich diese Seite in Safari ansehe, wirkt sie einfach wie ein Textdokument.

    • Für die Bilder wird das AVIF-Format verwendet. Der Vorteil ist eine 2x bessere Kompression als PNG bei höherer Qualität als JPG.
      Wenn du die Bilder nicht sehen kannst, verwendest du wahrscheinlich einen veralteten Browser. Soweit ich weiß, unterstützen alle aktuellen Browser-Versionen außer Internet Explorer das. Und wenn du Internet Explorer benutzt, möge Gott dir beistehen.
      [0] https://caniuse.com/avif
    • In Safari 16.1 auf dem Mac sieht es nicht so aus.
    • Da es hier um Sicherheit geht, ist das die Erinnerung des Tages, den Browser zu aktualisieren, um im Internet sicher zu bleiben.
      Aktuelle Safari-Versionen unterstützen AVIF-Bilder, und mehrere tatsächlich ausnutzbare Remote-Code-Execution-Schwachstellen in Safari wurden letztes Jahr behoben.