Der Vorfall, bei dem gleichzeitig die Hälfte der US-Fast-Food-Ketten gehackt wurde

 (mrbruh.com)
2 Punkte von GN⁺ 2024-01-10 | 1 Kommentare | Auf WhatsApp teilen

Wie die Hälfte der US-Fast-Food-Ketten gleichzeitig gehackt wurde

  • Auf der Konsole erscheint zusammen mit einem fröhlichen Ton die Meldung, dass das Skript ausgeführt wurde. Dieses Skript sucht unter den Hunderten neu entstandenen AI-Startups nach Websites mit offengelegten Firebase-Zugangsdaten.
  • Es durchsucht öffentlich verfügbare Listen von Websites mit der Top-Level-Domain .ai und findet in den Websitedaten sowie in den referenzierten .js-Bundles Firebase-Initialisierungsvariablen.
  • Die Annahme war, dass es Fälle geben würde, in denen aus Zeitdruck beim Produktlaunch keine angemessenen Sicherheitsregeln implementiert wurden.

Chattr.ai kennenlernen

  • Chattr.ai ist ein AI-Recruiting-System, das behauptet, die Einstellungszeit um 88 % zu verkürzen.
  • Es bedient Fast-Food-Ketten in den gesamten USA sowie andere Unternehmen, die Stundenkräfte beschäftigen.
  • Dazu gehören Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target und Wendys.

Entdeckung der Schwachstelle

  • Wenn man die Firebase-Konfiguration aus dem JS-Bundle in Firepwn einfügt, hat man zunächst keine Berechtigungen.
  • Erstellt man jedoch über die Registrierungsfunktion von Firebase einen neuen Benutzer, erhält man vollständige Rechte (Lesen/Schreiben) auf die Firebase-DB.
  • Zu den offengelegten Daten gehörten Namen, Telefonnummern, E-Mail-Adressen, Klartext-Passwörter einiger Konten, Filialstandorte, vertrauliche Nachrichten und Dienstpläne.
  • Informationen von Chattr-Mitarbeitern, Franchise-Managern und Bewerbern waren offengelegt.

Die Lage wird noch schlimmer

  • Ruft man unter /orgs/0/users die Liste der Administratoren ab und fügt einen neuen Eintrag hinzu, ist vollständiger Zugriff auf das Admin-Dashboard möglich.
  • Das erlaubt mehr Kontrolle über das System, einschließlich der Genehmigung oder Ablehnung von Bewerbern oder der Rückerstattung von an Chattr gezahlten Beträgen.

Zeitachse (TT/MM)

  • 06/01 - Schwachstelle entdeckt
  • 09/01 - Dokumentation fertiggestellt und E-Mail versendet
  • 10/01 - Schwachstelle gepatcht
  • Bis jetzt gab es weder eine Kontaktaufnahme noch ein Dankeschön. Falls doch noch eine Rückmeldung kommt, wird dieser Beitrag aktualisiert.

Danksagung

  • Dank an Freunde, die bei diesem Pentest und der verantwortungsvollen Offenlegung geholfen haben.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Erstellt mit Hugo Bear, gehostet bei Privex.

Meinung von GN⁺

  • Dieser Vorfall zeigt die schwerwiegenden Schwachstellen, die entstehen können, wenn neue AI-Tech-Unternehmen der Sicherheit nicht genügend Aufmerksamkeit schenken.
  • Er macht auf die Risiken aufmerksam, die sich hinter der Bequemlichkeit von Diensten wie Chattr.ai verbergen.
  • Als Beispiel dafür, wie groß der Schaden sein kann, wenn ein Service ohne angemessene Sicherheitsmaßnahmen gestartet wird, hilft der Fall dabei, das Bewusstsein für Sicherheit zu schärfen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-10
Hacker-News-Kommentare

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Zeitleiste von Entdeckung bis Patch

        1. Januar: Schwachstelle entdeckt
        1. Januar: Dokumentation fertiggestellt und E-Mail versendet
        1. Januar: Schwachstelle gepatcht
      • Positiv wird bewertet, dass die Schwachstelle innerhalb eines Tages gepatcht wurde.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Meinung zur Verzögerung bei der Meldung nach Entdeckung der Schwachstelle
      • Es wird als kurios bezeichnet, dass der Autor trotz der Entdeckung einer großen Schwachstelle ein paar Tage mit der Meldung wartete, um zuerst einen guten Bericht fertigzustellen.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Erfahrungsbericht zu HackerOne
      • Es wird eine Erfahrung geteilt, bei der Teilnehmer eine kleine Schwachstelle fanden und dann monatelang nichts meldeten, während sie versuchten, daraus eine größere Schwachstelle zu machen, um eine höhere Prämie zu erhalten; später waren sie verärgert, als sie erfuhren, dass sie bereits gepatcht worden war.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Frage zum Hintergrund des Pentests
      • Es ist unklar, ob der Autor offiziell mit diesem Pentest beauftragt wurde oder freiwillig gehandelt hat. Es wird gefragt, ob chattr.ai eine Responsible-Disclosure-Richtlinie hat.

  • How much would this leak go for in the darknet?

    • Frage zum Wert der geleakten Daten im Darknet
      • Es wird gefragt, wie viel ein solcher Datenabfluss im Darknet wert wäre.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Erwähnung eines Tools zur Suche nach Firebase-Schwachstellen in Evas Beitrag

      • Da man damals nicht viel über Firebase wusste, suchte man nach einem Tool, um nach offensichtlichen Schwachstellen zu sehen, fand firepwn als brauchbares GUI-Tool und gab dort einfach die Firebase-Details von chattr ein.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Frage zum Risiko von Sicherheitstools
      • Jemand ohne Infosec-Erfahrung fragt ernsthaft, ob bei einem solchen Tool nicht das Risiko besteht, dass es nach Hause telefoniert und alles protokolliert, was man bei der Recherche findet.

  • Full permissions for a user is blatant negligence.

    • Kritik an vollständigen Benutzerrechten
      • Die Vergabe vollständiger Rechte an einen Nutzer wird als offensichtliche Fahrlässigkeit kritisiert.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Frage zur rechtlichen Haftung bei Ausnutzung der Schwachstelle
      • Es wird gefragt, ob große Unternehmen wie Target, Subway oder Dunkin haftbar wären, wenn Bewerber durch die Ausnutzung der Schwachstelle Opfer von Bank- oder Kreditbetrug in ihrem Namen geworden wären, weil diese Unternehmen chattr.ai nicht ausreichend geprüft hätten.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Zweifel am Erstfund der Schwachstelle
      • Es wird infrage gestellt, ob sie die Ersten waren, die die Schwachstelle entdeckt haben, oder nur die Ersten, die nach der Entdeckung etwas zu ihrer Behebung unternommen haben.

  • I thought there was a US law now where breaches like this have to be reported?

    • Hinweis auf Meldepflichten bei Datenlecks
      • Es wird angemerkt, man habe gedacht, dass es in den USA inzwischen ein Gesetz gebe, nach dem solche Datenlecks gemeldet werden müssen.

  • Firebase is a shitshow.

    • Kritische Meinung zu Firebase
      • Es wird eine kritische Haltung zu Firebase geäußert und darauf hingewiesen, dass es neben Sicherheitsproblemen noch viele weitere Schwächen gebe.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Positive Bewertung des Artikels
      • Der Artikel wird als gut gemacht, gut geschrieben und taktvoll bezeichnet; zugleich wird das unprofessionelle Auftreten von chattr kritisiert.

  • Article gets to the point very quickly, nice.

    • Lob für den direkten Stil des Artikels
      • Es wird gelobt, dass der Artikel sehr schnell auf den Punkt kommt.