2 poin oleh GN⁺ 2024-01-10 | 1 komentar | Bagikan ke WhatsApp
  • Seorang peneliti keamanan menemukan konfigurasi Chattr.ai yang terekspos saat menelusuri situs TLD .ai dan bundle JS untuk mencari variabel inisialisasi Firebase
  • Chattr.ai adalah sistem rekrutmen AI yang mengklaim dapat mengurangi waktu rekrutmen 88%, dan digunakan oleh berbagai perusahaan fast food serta pemberi kerja paruh waktu seperti Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys, dan lainnya
  • Akses awalnya diblokir hanya dengan konfigurasi Firebase dari bundle JS, tetapi ketika pengguna baru dibuat melalui fitur pendaftaran Firebase, hak baca/tulis DB terbuka
  • Informasi yang terekspos mencakup nama, nomor telepon, email, kata sandi plaintext untuk sebagian akun, lokasi cabang, pesan rahasia, dan informasi shift kerja, berdampak pada karyawan Chattr, manajer waralaba, dan pencari kerja
  • Kerentanan ditemukan pada 01/06, dilaporkan pada 01/09, ditambal pada 01/10, dan tiket dukungan ditutup pada 01/11, tetapi tidak ada ucapan terima kasih atau kontak lanjutan meski sudah diminta secara eksplisit

Dari pemindaian Firebase hingga Chattr.ai

  • Peneliti baru-baru ini menjalankan skrip untuk mencari kredensial Firebase yang terekspos di ratusan startup AI
    • Menggunakan daftar situs TLD .ai yang tersedia publik
    • Mem-parsing data situs dan bundle .js yang dirujuk untuk mencari referensi variabel inisialisasi Firebase
  • Ia ingin mencari kemungkinan ada pihak yang tidak menerapkan aturan keamanan dengan benar dalam proses merilis produk dengan cepat, dan ternyata masalah yang lebih serius memang muncul
  • Chattr.ai adalah sistem rekrutmen AI yang mengklaim dapat memangkas waktu perekrutan 88%
    • Klaim pengurangan waktu rekrutmen: {p:88}
  • Contoh perusahaan pengguna layanan yang disebutkan mencakup merek berikut
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Cara eskalasi hak akses dan data yang terekspos

  • Jika konfigurasi Firebase yang diambil dari bundle JS dimasukkan ke Firepwn, awalnya dimulai dalam kondisi tanpa hak akses
  • Setelah itu, ketika pengguna baru dibuat melalui fitur pendaftaran Firebase, meskipun tidak bisa mendaftar di situs Chattr.ai, hak penuh baca/tulis ke DB Firebase menjadi tersedia
  • Data yang terekspos mencakup hal-hal berikut
    • Nama
    • Nomor telepon
    • Email
    • Kata sandi plaintext untuk sebagian akun
    • Lokasi cabang
    • Pesan rahasia
    • Informasi shift kerja
  • Kelompok yang terdampak adalah karyawan Chattr, manajer waralaba, dan pencari kerja

Jadwal pengungkapan dan patch

  • 01/06: Kerentanan ditemukan
  • 01/09: Laporan yang ditulis dikirim ke Chattr.ai melalui email
  • 01/10: Kerentanan ditambal
  • 01/11: Tiket dukungan ditutup; tidak ada ucapan terima kasih atau kontak lanjutan meski sudah diminta secara eksplisit

1 komentar

 
GN⁺ 2024-01-10
Komentar Hacker News
  • Tidak jelas apakah penulis diminta melakukan uji penetrasi, atau hanya pihak ketiga berniat baik yang bergerak secara gerilya
    Jika yang kedua, saya penasaran bagaimana dia bisa seberani itu. Apakah chattr.ai punya kebijakan pengungkapan yang bertanggung jawab? Saya rasa siapa pun seharusnya bebas melakukan uji penetrasi jika tidak berniat merugikan dan melaporkan temuannya. Sayangnya, banyak perusahaan tetap panik dan menempuh jalur hukum meskipun dilakukan dengan niat baik

    • Dari bagian yang mengatakan “baru-baru ini saya mencari kredensial Firebase yang terekspos di ratusan startup AI”, kelihatannya cukup jelas. Dia menjalankan skrip yang memindai ratusan startup
      Bahkan jika itu dilakukan oleh pihak ketiga yang berniat baik, perusahaan tetap bisa menempuh tindakan hukum, tetapi dalam kasus seperti itu sering kali perusahaan justru berakhir dipermalukan di depan publik
    • Web sudah cukup tidak aman, saya hanya ingin melakukan bagian saya untuk membuatnya sedikit lebih aman
    • Insiden seperti ini kadang menjadi pemicu bagi regulator untuk meneliti perusahaan lebih dekat
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Saya penasaran apakah Anda juga berpikir sama soal keamanan fisik. Kalau seseorang berkeliaran di sekitar gedung, mengintip lewat jendela, mencongkel kunci pintu, bahkan berjalan-jalan sedikit di dalam, apakah itu tidak masalah selama dia tidak mencuri apa pun?
    • Tanpa regulasi yang layak, standar rekayasa, dan denda yang benar-benar terasa, pada akhirnya satu-satunya demokrasi yang ada hanyalah orang-orang bertindak sendiri
      Perusahaan yang diretas juga punya niat buruk yang cukup besar, jadi justru fokus seharusnya diarahkan ke sana
  • Di linimasa tidak ada waktu saat tulisan dipublikasikan secara online

  • Saat ini jika membuka tautannya, yang dikembalikan justru banyak metrik Prometheus. Menarik

    • Sekarang seharusnya sudah tidak begitu. Itu terjadi tepat saat saya “sedang men-deploy ke production”
      Situsnya kebanjiran traffic jadi saya perlu analitik
  • Saya penasaran apakah ini termasuk akses yang diotorisasi menurut CFAA
    Saya ingin tahu batasnya di mana

  • Setelah dipikir-pikir lagi, orang yang benar-benar berada dalam risiko tampaknya adalah orang-orang malang yang mencoba mendapat pekerjaan di perusahaan seperti ini dengan upah per jam yang sangat kecil
    Saya tidak begitu paham bagaimana ini bisa “p0wn” perusahaannya sendiri

  • Jika halaman ini dibuka di Safari, tampilannya hanya seperti dokumen teks

    • Mereka memakai gambar format AVIF. Tujuannya untuk mendapat kompresi 2x lebih baik daripada PNG sambil tetap mempertahankan kualitas lebih tinggi daripada JPG
      Jika gambarnya tidak terlihat, kemungkinan Anda memakai browser lama. Setahu saya semua browser versi saat ini mendukungnya kecuali Internet Explorer. Dan kalau Anda masih memakai Internet Explorer, semoga Tuhan menyertai Anda
      [0] https://caniuse.com/avif
    • Di Safari 16.1 pada mac tidak terlihat seperti itu
    • Karena ini tulisan tentang keamanan, ini pengingat hari ini untuk memperbarui browser jika ingin tetap aman di internet
      Safari terbaru mendukung gambar AVIF, dan tahun lalu beberapa kerentanan eksekusi kode jarak jauh yang benar-benar dieksploitasi di Safari telah diperbaiki