- Seorang peneliti keamanan menemukan konfigurasi Chattr.ai yang terekspos saat menelusuri situs TLD
.aidan bundle JS untuk mencari variabel inisialisasi Firebase - Chattr.ai adalah sistem rekrutmen AI yang mengklaim dapat mengurangi waktu rekrutmen 88%, dan digunakan oleh berbagai perusahaan fast food serta pemberi kerja paruh waktu seperti Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys, dan lainnya
- Akses awalnya diblokir hanya dengan konfigurasi Firebase dari bundle JS, tetapi ketika pengguna baru dibuat melalui fitur pendaftaran Firebase, hak baca/tulis DB terbuka
- Informasi yang terekspos mencakup nama, nomor telepon, email, kata sandi plaintext untuk sebagian akun, lokasi cabang, pesan rahasia, dan informasi shift kerja, berdampak pada karyawan Chattr, manajer waralaba, dan pencari kerja
- Kerentanan ditemukan pada 01/06, dilaporkan pada 01/09, ditambal pada 01/10, dan tiket dukungan ditutup pada 01/11, tetapi tidak ada ucapan terima kasih atau kontak lanjutan meski sudah diminta secara eksplisit
Dari pemindaian Firebase hingga Chattr.ai
- Peneliti baru-baru ini menjalankan skrip untuk mencari kredensial Firebase yang terekspos di ratusan startup AI
- Menggunakan daftar situs TLD
.aiyang tersedia publik - Mem-parsing data situs dan bundle
.jsyang dirujuk untuk mencari referensi variabel inisialisasi Firebase
- Menggunakan daftar situs TLD
- Ia ingin mencari kemungkinan ada pihak yang tidak menerapkan aturan keamanan dengan benar dalam proses merilis produk dengan cepat, dan ternyata masalah yang lebih serius memang muncul
- Chattr.ai adalah sistem rekrutmen AI yang mengklaim dapat memangkas waktu perekrutan 88%
- Klaim pengurangan waktu rekrutmen: {p:88}
- Contoh perusahaan pengguna layanan yang disebutkan mencakup merek berikut
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Cara eskalasi hak akses dan data yang terekspos
- Jika konfigurasi Firebase yang diambil dari bundle JS dimasukkan ke Firepwn, awalnya dimulai dalam kondisi tanpa hak akses
- Setelah itu, ketika pengguna baru dibuat melalui fitur pendaftaran Firebase, meskipun tidak bisa mendaftar di situs Chattr.ai, hak penuh baca/tulis ke DB Firebase menjadi tersedia
- Data yang terekspos mencakup hal-hal berikut
- Nama
- Nomor telepon
- Kata sandi plaintext untuk sebagian akun
- Lokasi cabang
- Pesan rahasia
- Informasi shift kerja
- Kelompok yang terdampak adalah karyawan Chattr, manajer waralaba, dan pencari kerja
Jadwal pengungkapan dan patch
- 01/06: Kerentanan ditemukan
- 01/09: Laporan yang ditulis dikirim ke Chattr.ai melalui email
- 01/10: Kerentanan ditambal
- 01/11: Tiket dukungan ditutup; tidak ada ucapan terima kasih atau kontak lanjutan meski sudah diminta secara eksplisit
1 komentar
Komentar Hacker News
Tidak jelas apakah penulis diminta melakukan uji penetrasi, atau hanya pihak ketiga berniat baik yang bergerak secara gerilya
Jika yang kedua, saya penasaran bagaimana dia bisa seberani itu. Apakah chattr.ai punya kebijakan pengungkapan yang bertanggung jawab? Saya rasa siapa pun seharusnya bebas melakukan uji penetrasi jika tidak berniat merugikan dan melaporkan temuannya. Sayangnya, banyak perusahaan tetap panik dan menempuh jalur hukum meskipun dilakukan dengan niat baik
Bahkan jika itu dilakukan oleh pihak ketiga yang berniat baik, perusahaan tetap bisa menempuh tindakan hukum, tetapi dalam kasus seperti itu sering kali perusahaan justru berakhir dipermalukan di depan publik
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Perusahaan yang diretas juga punya niat buruk yang cukup besar, jadi justru fokus seharusnya diarahkan ke sana
Di linimasa tidak ada waktu saat tulisan dipublikasikan secara online
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
Saat ini jika membuka tautannya, yang dikembalikan justru banyak metrik Prometheus. Menarik
Situsnya kebanjiran traffic jadi saya perlu analitik
Saya penasaran apakah ini termasuk akses yang diotorisasi menurut CFAA
Saya ingin tahu batasnya di mana
Setelah dipikir-pikir lagi, orang yang benar-benar berada dalam risiko tampaknya adalah orang-orang malang yang mencoba mendapat pekerjaan di perusahaan seperti ini dengan upah per jam yang sangat kecil
Saya tidak begitu paham bagaimana ini bisa “p0wn” perusahaannya sendiri
Jika halaman ini dibuka di Safari, tampilannya hanya seperti dokumen teks
Jika gambarnya tidak terlihat, kemungkinan Anda memakai browser lama. Setahu saya semua browser versi saat ini mendukungnya kecuali Internet Explorer. Dan kalau Anda masih memakai Internet Explorer, semoga Tuhan menyertai Anda
[0] https://caniuse.com/avif
Safari terbaru mendukung gambar AVIF, dan tahun lalu beberapa kerentanan eksekusi kode jarak jauh yang benar-benar dieksploitasi di Safari telah diperbaiki