Insiden Peretasan yang Sekaligus Menyerang Setengah Rantai Fast Food di Amerika Serikat

 (mrbruh.com)
2 poin oleh GN⁺ 2024-01-10 | 1 komentar | Bagikan ke WhatsApp

Cara meretas setengah rantai fast food di Amerika Serikat sekaligus

  • Di konsol muncul notifikasi bahwa eksekusi skrip selesai, disertai suara yang ceria. Skrip ini mencari situs dengan kredensial Firebase yang terekspos di antara ratusan startup AI yang baru bermunculan.
  • Mencari secara publik daftar situs yang menggunakan domain tingkat atas .ai, lalu menemukan data situs dan variabel inisialisasi Firebase dalam bundle .js yang direferensikan.
  • Perkiraannya, ada kasus-kasus di mana aturan keamanan yang semestinya belum diterapkan karena terlalu terburu-buru meluncurkan produk.

Bertemu Chattr.ai

  • Chattr.ai adalah sistem perekrutan AI yang mengklaim dapat mempersingkat waktu perekrutan sebesar 88%.
  • Layanan ini digunakan oleh rantai fast food di seluruh Amerika Serikat dan perusahaan lain yang mempekerjakan pekerja per jam.
  • Termasuk Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys, dan lainnya.

Menemukan kerentanan

  • Saat konfigurasi Firebase dari bundle JS dimasukkan ke Firepwn, awalnya tidak ada izin akses.
  • Namun, jika membuat pengguna baru memakai fitur pendaftaran Firebase, maka didapatkan hak penuh (baca/tulis) ke Firebase DB.
  • Data yang terekspos mencakup nama, nomor telepon, email, kata sandi plaintext untuk sebagian akun, lokasi cabang, pesan rahasia, jadwal kerja, dan lainnya.
  • Informasi milik karyawan Chattr, manajer waralaba, pelamar kerja, dan pihak lain ikut terekspos.

Situasinya menjadi lebih buruk

  • Dengan mengambil daftar pengguna admin dari /orgs/0/users lalu menambahkan entri baru, dashboard admin bisa diakses sepenuhnya.
  • Ini memungkinkan kontrol lebih besar atas sistem, termasuk menyetujui/menolak pelamar atau mengembalikan dana yang dibayarkan ke Chattr.

Linimasa (DD/MM)

  • 06/01 - Kerentanan ditemukan
  • 09/01 - Dokumentasi selesai ditulis dan email dikirim
  • 10/01 - Kerentanan ditambal
  • Sampai sekarang belum ada kontak atau ucapan terima kasih yang diterima. Jika ada kabar, tulisan ini akan diperbarui.

Kredit

  • Terima kasih kepada teman-teman yang membantu pentest ini dan responsible disclosure.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Dibuat dengan Hugo Bear, di-hosting di Privex.

Pendapat GN⁺

  • Insiden ini menunjukkan kerentanan serius yang dapat terjadi ketika perusahaan teknologi AI baru tidak memberi perhatian yang cukup pada keamanan.
  • Ini menjadi pengingat untuk menyadari risiko yang tersembunyi di balik kenyamanan yang ditawarkan layanan seperti Chattr.ai.
  • Sebagai contoh seberapa besar dampak yang bisa timbul ketika layanan diluncurkan tanpa langkah keamanan yang memadai, kasus ini membantu meningkatkan kewaspadaan terhadap keamanan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-10
Komentar Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Linimasa dari penemuan hingga patch

      • 6 Januari: Kerentanan ditemukan
      • 9 Januari: Penulisan dokumentasi selesai dan email dikirim
      • 10 Januari: Kerentanan ditambal
      • Fakta bahwa kerentanan ditambal hanya dalam satu hari dinilai positif.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Pendapat tentang penundaan pelaporan setelah menemukan kerentanan
      • Dianggap lucu bahwa penulis menemukan kerentanan besar tetapi memilih menunggu beberapa hari untuk melaporkannya agar bisa menyelesaikan laporan yang rapi.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Pengalaman dengan HackerOne
      • Membagikan pengalaman tentang peserta yang menemukan kerentanan kecil lalu menyimpannya selama berbulan-bulan sambil mencoba mengembangkannya menjadi kerentanan yang lebih besar demi mendapatkan hadiah yang lebih tinggi, lalu marah saat tahu celah itu sudah ditambal.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Pertanyaan tentang latar belakang pelaksanaan pentest
      • Tidak jelas apakah penulis secara resmi disewa untuk melakukan pentest ini, atau bertindak atas inisiatif sendiri. Penanya penasaran apakah chattr.ai memiliki kebijakan responsible disclosure.

  • How much would this leak go for in the darknet?

    • Pertanyaan tentang nilai data bocor di darknet
      • Menanyakan berapa nilai informasi bocor semacam ini di darknet.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Penyebutan alat eksplorasi kerentanan Firebase dari postingan Eva

      • Karena saat itu mereka tidak terlalu memahami Firebase, mereka mencari alat untuk memeriksa apakah ada kerentanan yang jelas, lalu menemukan firepwn, sebuah alat GUI, dan memasukkan detail Firebase milik chattr.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Pertanyaan tentang risiko alat keamanan
      • Seorang pengguna tanpa pengalaman infosec sungguh penasaran apakah alat seperti ini berisiko diam-diam mengirim data ke server asalnya dan mencatat semua yang ditemukan selama riset.

  • Full permissions for a user is blatant negligence.

    • Kritik terhadap pemberian izin penuh kepada pengguna
      • Mengkritik bahwa memberikan izin penuh kepada seorang pengguna adalah kelalaian yang sangat jelas.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Pertanyaan tentang tanggung jawab hukum jika kerentanan dieksploitasi
      • Jika celah ini dieksploitasi dan pelamar kerja di Target, Subway, Dunkin, dan lainnya menjadi korban penipuan bank/kredit atas nama mereka, ditanyakan apakah perusahaan-perusahaan besar itu dapat dimintai pertanggungjawaban karena tidak melakukan due diligence yang memadai terhadap chatter.ai.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Keraguan tentang penemu pertama kerentanan
      • Mempertanyakan apakah mereka benar-benar yang pertama menemukan kerentanan ini, atau hanya yang pertama menemukan lalu mengambil tindakan untuk memperbaikinya.

  • I thought there was a US law now where breaches like this have to be reported?

    • Penyebutan kewajiban pelaporan kebocoran data
      • Menyebut bahwa setahunya ada hukum di AS yang mewajibkan insiden seperti ini untuk dilaporkan.

  • Firebase is a shitshow.

    • Pendapat kritis tentang Firebase
      • Menyampaikan pandangan sangat negatif terhadap Firebase, dengan mengatakan bahwa setelah benar-benar menggunakannya untuk membangun proyek, banyak masalah muncul selain celah keamanan.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Penilaian positif terhadap penulisan artikel
      • Menilai artikelnya dibuat dengan baik, ditulis dengan bagus, dan menunjukkan pendekatan yang sangat bijak, sambil menyindir chattr sebagai perusahaan yang tidak profesional.

  • Article gets to the point very quickly, nice.

    • Penilaian positif terhadap gaya artikel yang langsung ke inti
      • Memuji artikel karena cepat menyampaikan inti pembahasan.