米国のファストフードチェーンの半数を同時にハッキングした事件

 (mrbruh.com)
2 ポイント 投稿者 GN⁺ 2024-01-10 | 1件のコメント | WhatsAppで共有

米国のファストフードチェーンの半数を同時にハッキングした方法

  • コンソールに軽快な音とともにスクリプト実行完了の通知が表示される。このスクリプトは、最近増えている数百のAIスタートアップのうち、Firebase認証情報が露出したサイトを探すもの。
  • .ai トップレベルドメインを使うサイトの一覧を公開情報から検索し、サイトデータと参照されている .js バンドルからFirebase初期化変数を見つけ出した。
  • プロダクトのリリースを急ぐあまり、適切なセキュリティルールを実装していないケースがあるだろうと予想していた。

Chattr.aiとの遭遇

  • Chattr.aiは、採用時間を88%短縮すると主張するAI採用システム。
  • 米国全土のファストフードチェーンや、時間給労働者を雇用するその他の企業にサービスを提供している。
  • Applebees、Arbys、Chickfila、Dunkin、IHOP、KFC、Shoneys、Subway、Tacobell、Target、Wendys などが含まれる。

脆弱性の発見

  • JSバンドルから取り出したFirebase設定をFirepwnに入れると、最初は権限がない。
  • Firebaseの登録機能を使って新しいユーザーを作成すると、Firebase DBに対する完全な権限(読み書き)を取得できる。
  • 露出していたデータには、氏名、電話番号、メールアドレス、一部アカウントの平文パスワード、拠点の所在地、機密メッセージ、勤務シフト表などが含まれていた。
  • Chattrの従業員、フランチャイズマネージャー、求職者などの情報が露出していた。

状況はさらに悪化

  • /orgs/0/users から管理者ユーザー一覧を取得し、新しい項目を追加すると、管理者ダッシュボードに完全にアクセスできる。
  • システムに対するさらなる制御が可能になり、応募者の承認・拒否や、Chattrに支払われた金額の返金もできる。

タイムライン (DD/MM)

  • 06/01 - 脆弱性を発見
  • 09/01 - 文書作成完了およびメール送信
  • 10/01 - 脆弱性を修正
  • いまだに連絡や謝意の表明は受けていない。連絡があればこの文章を更新する予定。

クレジット

  • このペンテストと責任ある情報公開に協力してくれた友人たちに感謝する。
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Hugo Bearで制作され、Privexでホスティングされている。

GN⁺の見解

  • この事件は、新しいAI技術企業がセキュリティに十分な注意を払わないときに起こり得る深刻な脆弱性を示している。
  • Chattr.aiのようなサービスが提供する利便性の裏に潜むリスクを認識するきっかけになる。
  • 適切なセキュリティ対策なしにサービスを公開することが、どれほど大きな被害をもたらし得るかを示す事例であり、セキュリティへの警戒心を高める助けになる。

関連記事

1件のコメント

 
GN⁺ 2024-01-10
Hacker Newsの意見

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • 発見からパッチ適用までのタイムライン

      • 1月6日: 脆弱性を発見
      • 1月9日: 文書作成完了およびメール送信
      • 1月10日: 脆弱性を修正
      • 脆弱性が1日で修正された点を肯定的に評価している。

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • 脆弱性発見後の報告遅延に関する意見
      • 著者が重大な脆弱性を見つけたにもかかわらず、立派なレポートを書き上げるために数日待ってから報告したことを面白いと評している。

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • HackerOneでの体験談
      • 小さな脆弱性を見つけたあと、それをより大きな脆弱性に発展させて高い報奨金を得ようと何か月も抱え込み、すでに修正されていたと知って怒る参加者がいたという経験を共有している。

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • ペンテスト実施の背景に対する疑問
      • 著者が正式にペンテストを依頼されたのか、それとも自発的に行動した善意の第三者なのかは明確でないとしている。もし後者なら、なぜそこまで大胆に行えたのか、また chattr.ai に責任ある開示ポリシーがあるのかを疑問視している。

  • How much would this leak go for in the darknet?

    • 流出情報のダークネットでの価値に関する質問
      • このような流出情報がダークネットでどれくらいの値が付くのかを尋ねている。

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Evaの投稿にあった Firebase 脆弱性探索ツールへの言及

      • 当時は Firebase についてあまり知らなかったため、明らかな脆弱性がないか確認するツールを探し、GUI ツールとして良さそうだった firepwn を見つけて chattr の Firebase 情報を入力したと述べている。

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • セキュリティツールの危険性に関する質問
      • 情報セキュリティの経験はないとしつつ、この種のツールが調査中に見つけた内容をすべて外部送信して記録してしまう危険はないのかと純粋に疑問を呈している。

  • Full permissions for a user is blatant negligence.

    • ユーザーへの全権限付与に対する批判
      • ユーザーにフル権限を与えるのは明白な怠慢だと批判している。

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • 脆弱性が悪用された場合の法的責任に関する質問
      • もしこの脆弱性が悪用され、Target、Subway、Dunkin などの応募者が銀行・クレジット詐欺の被害に遭った場合、chattr.ai に対して十分なデューデリジェンスを行わなかった大企業にも法的責任が生じるのかと尋ねている。

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • 脆弱性発見者に関する疑問
      • 彼らがこの脆弱性を最初に見つけた人物だと誰が言えるのか、少なくとも見つけて修正に向けて行動した最初の人物ではあるのではないかと述べている。

  • I thought there was a US law now where breaches like this have to be reported?

    • データ漏えい報告義務への言及
      • この種の漏えいは報告が義務付けられている米国の法律が今はあると思っていたと述べている。

  • Firebase is a shitshow.

    • Firebaseへの批判的な意見
      • Firebase を実際に使ってプロジェクトを進めたことがあるが、セキュリティ脆弱性以外にもさまざまな問題があり、強く批判している。

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • 記事に対する肯定的な評価
      • 記事はよくできており、文章もうまく、配慮も素晴らしいと評価しつつ、chattr の非プロフェッショナルさを指摘している。

  • Article gets to the point very quickly, nice.

    • 記事の率直なスタイルに対する肯定的な評価
      • 記事がすぐに要点に入る点を褒めている。