米ファストフードチェーンの半数が同時にハッキングされた事件
(mrbruh.com)- セキュリティ研究者が
.aiTLD のサイトと JS バンドルを調べて Firebase の初期化変数を探していたところ、Chattr.ai の露出した設定を発見した - Chattr.ai は採用時間を 88%短縮すると宣伝する AI 採用システムで、Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys など複数のファストフード・時間給雇用企業で使われていた
- JS バンドルの Firebase 設定だけではアクセスは遮断されていたが、Firebase の 登録機能で新しいユーザーを作成すると DB の読み取り・書き込み権限が開放された
- 露出していた情報には、名前、電話番号、メール、一部アカウントの 平文パスワード、店舗位置、機密メッセージ、勤務シフト情報が含まれ、Chattr の従業員・フランチャイズマネージャー・求職者に影響があった
- 脆弱性は 01/06 に発見、01/09 に報告、01/10 に修正され、01/11 にサポートチケットは閉じられたが、明示的に求めたにもかかわらず謝辞や追加連絡はなかった
Firebase スキャンから Chattr.ai へ
- 研究者は最近、数百の AI スタートアップで 露出した Firebase 認証情報を探すスクリプトを実行した
- 公開された
.aiTLD サイト一覧を使用した - サイトデータと参照されている
.jsバンドルを解析し、Firebase 初期化変数への参照を探した
- 公開された
- 迅速に製品をリリースする過程で、誰かが セキュリティルールを適切に実装していない可能性を探ろうとしていたところ、実際にはさらに深刻な問題が明らかになった
- Chattr.ai は新規採用にかかる時間を 88%短縮すると宣伝する AI 採用システムである
- 採用時間短縮の主張: {p:88}
- サービス利用企業の例として、次のブランドが列挙されている
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
権限昇格の方法と露出したデータ
- JS バンドルから取得した Firebase 設定を Firepwn に入れると、最初は権限のない状態で始まる
- その後、Firebase の登録機能で新しいユーザーを作成すると、Chattr.ai のサイトでは登録できないにもかかわらず、Firebase DB に 読み取り/書き込みの完全権限が生じた
- 露出したデータには次が含まれていた
- 名前
- 電話番号
- メール
- 一部アカウントの 平文パスワード
- 店舗位置
- 機密メッセージ
- 勤務シフト情報
- 影響を受けたグループは Chattr の従業員、フランチャイズマネージャー、求職者だった
公開と修正のタイムライン
- 01/06: 脆弱性を発見
- 01/09: 作成した報告書を Chattr.ai にメールで送付
- 01/10: 脆弱性を修正
- 01/11: サポートチケット終了、明示的に求めたにもかかわらず謝辞や追加連絡はなし
1件のコメント
Hacker News のコメント
筆者がこのペネトレーションテストを依頼されたのか、それともゲリラ的な善意の第三者なのかは不明
後者だとしたら、どうしてここまで大胆になれるのか気になる。chattr.ai には責任ある開示ポリシーがあるのだろうか? 害を与える意図がなく、発見事項を報告するなら、誰でも自由にペネトレーションテストできるべきだと思う。残念ながら、多くの企業は善意であっても怖がって法的措置に進むことがある
善意の第三者であっても企業が法的措置を取ることはあり得るが、そういう場合、企業が公の場でかなり恥をかいて終わることも多い
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
ハッキングされた企業側にも十分な悪意があるのだから、むしろそちらに焦点を当てるべき
タイムラインに記事がオンラインに掲載された時点が抜けている
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
現在リンクにアクセスすると、Prometheus メトリクスが大量に返ってくる。興味深い
サイトにトラフィックが殺到していて、分析が必要だった
これが CFAA でいう認可されたアクセスに当たるのか気になる
境界がどこにあるのか知りたい
考え直してみると、実際に危険にさらされているのは、こうした会社に雀の涙ほどの時給で就職しようとしている気の毒な人たちのように思える
これが会社そのものをどう「p0wn」するのかはよく分からない
このページを Safari で見ると、ただのテキスト文書に見える
画像が表示されないなら、おそらく古いブラウザを使っているのだと思う。私の知る限り、Internet Explorer を除く現在のバージョンのブラウザはすべて対応している。そして Internet Explorer を使っているなら、神のご加護がありますように
[0] https://caniuse.com/avif
最新の Safari は AVIF 画像に対応しており、昨年 Safari で実際のエクスプロイトが知られていた複数のリモートコード実行脆弱性が修正された