2 ポイント 投稿者 GN⁺ 2024-01-10 | 1件のコメント | WhatsAppで共有
  • セキュリティ研究者が .ai TLD のサイトと JS バンドルを調べて Firebase の初期化変数を探していたところ、Chattr.ai の露出した設定を発見した
  • Chattr.ai は採用時間を 88%短縮すると宣伝する AI 採用システムで、Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys など複数のファストフード・時間給雇用企業で使われていた
  • JS バンドルの Firebase 設定だけではアクセスは遮断されていたが、Firebase の 登録機能で新しいユーザーを作成すると DB の読み取り・書き込み権限が開放された
  • 露出していた情報には、名前、電話番号、メール、一部アカウントの 平文パスワード、店舗位置、機密メッセージ、勤務シフト情報が含まれ、Chattr の従業員・フランチャイズマネージャー・求職者に影響があった
  • 脆弱性は 01/06 に発見、01/09 に報告、01/10 に修正され、01/11 にサポートチケットは閉じられたが、明示的に求めたにもかかわらず謝辞や追加連絡はなかった

Firebase スキャンから Chattr.ai へ

  • 研究者は最近、数百の AI スタートアップで 露出した Firebase 認証情報を探すスクリプトを実行した
    • 公開された .ai TLD サイト一覧を使用した
    • サイトデータと参照されている .js バンドルを解析し、Firebase 初期化変数への参照を探した
  • 迅速に製品をリリースする過程で、誰かが セキュリティルールを適切に実装していない可能性を探ろうとしていたところ、実際にはさらに深刻な問題が明らかになった
  • Chattr.ai は新規採用にかかる時間を 88%短縮すると宣伝する AI 採用システムである
    • 採用時間短縮の主張: {p:88}
  • サービス利用企業の例として、次のブランドが列挙されている
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

権限昇格の方法と露出したデータ

  • JS バンドルから取得した Firebase 設定を Firepwn に入れると、最初は権限のない状態で始まる
  • その後、Firebase の登録機能で新しいユーザーを作成すると、Chattr.ai のサイトでは登録できないにもかかわらず、Firebase DB に 読み取り/書き込みの完全権限が生じた
  • 露出したデータには次が含まれていた
    • 名前
    • 電話番号
    • メール
    • 一部アカウントの 平文パスワード
    • 店舗位置
    • 機密メッセージ
    • 勤務シフト情報
  • 影響を受けたグループは Chattr の従業員、フランチャイズマネージャー、求職者だった

公開と修正のタイムライン

  • 01/06: 脆弱性を発見
  • 01/09: 作成した報告書を Chattr.ai にメールで送付
  • 01/10: 脆弱性を修正
  • 01/11: サポートチケット終了、明示的に求めたにもかかわらず謝辞や追加連絡はなし

1件のコメント

 
GN⁺ 2024-01-10
Hacker News のコメント
  • 筆者がこのペネトレーションテストを依頼されたのか、それともゲリラ的な善意の第三者なのかは不明
    後者だとしたら、どうしてここまで大胆になれるのか気になる。chattr.ai には責任ある開示ポリシーがあるのだろうか? 害を与える意図がなく、発見事項を報告するなら、誰でも自由にペネトレーションテストできるべきだと思う。残念ながら、多くの企業は善意であっても怖がって法的措置に進むことがある

    • 「最近、数百の AI スタートアップで露出した Firebase 認証情報を探していた」というくだりを見ると、かなり明らかに思える。数百のスタートアップをスキャンするスクリプトを走らせていたのだ
      善意の第三者であっても企業が法的措置を取ることはあり得るが、そういう場合、企業が公の場でかなり恥をかいて終わることも多い
    • Web はすでに十分安全ではないので、少しでも安全にするために自分の役割を果たしたいだけ
    • こうした事件が、規制当局に企業をより詳しく調べさせるきっかけになることもある
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • 物理セキュリティについても同じ考えなのか気になる。誰かが建物の周りを歩き回り、窓をのぞき込み、ドアの鍵を開け、さらには中を少し歩き回っても、何も盗まなければ問題ないということなのか?
    • きちんとした規制、工学標準、実効性のある罰金がなければ、結局存在する唯一の民主主義は、人々が直接行動することだけになる
      ハッキングされた企業側にも十分な悪意があるのだから、むしろそちらに焦点を当てるべき
  • タイムラインに記事がオンラインに掲載された時点が抜けている

  • 現在リンクにアクセスすると、Prometheus メトリクスが大量に返ってくる。興味深い

    • もうそうはならないはず。「本番環境にデプロイしていた」瞬間だった
      サイトにトラフィックが殺到していて、分析が必要だった
  • これが CFAA でいう認可されたアクセスに当たるのか気になる
    境界がどこにあるのか知りたい

  • 考え直してみると、実際に危険にさらされているのは、こうした会社に雀の涙ほどの時給で就職しようとしている気の毒な人たちのように思える
    これが会社そのものをどう「p0wn」するのかはよく分からない

  • このページを Safari で見ると、ただのテキスト文書に見える

    • 画像に AVIF 形式を使っている。PNG より2倍の圧縮メリットがありながら、JPG より高い品質を維持するため
      画像が表示されないなら、おそらく古いブラウザを使っているのだと思う。私の知る限り、Internet Explorer を除く現在のバージョンのブラウザはすべて対応している。そして Internet Explorer を使っているなら、神のご加護がありますように
      [0] https://caniuse.com/avif
    • Mac の Safari 16.1 ではそうは見えない
    • セキュリティに関する記事なので、インターネット上で安全でいるためにブラウザを更新しよう、という今日のリマインダー
      最新の Safari は AVIF 画像に対応しており、昨年 Safari で実際のエクスプロイトが知られていた複数のリモートコード実行脆弱性が修正された