ABD'deki fast food zincirlerinin yarısını aynı anda hackleme olayı

 (mrbruh.com)
2 puan yazan GN⁺ 2024-01-10 | 1 yorum | WhatsApp'ta paylaş

ABD'deki fast food zincirlerinin yarısını aynı anda hackleme yöntemi

  • Konsolda neşeli bir sesle birlikte betiğin çalışmasının tamamlandığını bildiren bir uyarı belirdi. Bu betik, son dönemde ortaya çıkan yüzlerce yapay zeka girişimi arasında Firebase kimlik bilgilerinin açığa çıktığı siteleri buluyordu.
  • .ai üst düzey alan adını kullanan sitelerin listesi kamuya açık olarak tarandı ve site verileri ile referans verilen .js bundle'larında Firebase başlatma değişkenleri bulundu.
  • Ürünü hızla yayına alma telaşıyla uygun güvenlik kurallarını uygulamamış yerler olabileceği öngörüldü.

Chattr.ai ile tanışma

  • Chattr.ai, işe alım süresini %88 kısalttığını iddia eden bir yapay zeka işe alım sistemi.
  • ABD genelindeki fast food zincirlerine ve saatlik çalışan istihdam eden diğer şirketlere hizmet veriyor.
  • Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys bunlar arasında yer alıyor.

Güvenlik açığının keşfi

  • JS bundle'ındaki Firebase yapılandırması Firepwn'a girildiğinde başlangıçta yetki yoktu.
  • Firebase'in kayıt özelliği kullanılarak yeni bir kullanıcı oluşturulunca Firebase DB üzerinde tam yetki (okuma/yazma) elde edildi.
  • Açığa çıkan veriler arasında adlar, telefon numaraları, e-posta adresleri, bazı hesapların düz metin parolaları, şube konumları, gizli mesajlar ve çalışma vardiya çizelgeleri vardı.
  • Chattr çalışanları, franchise yöneticileri ve iş arayanlara ait bilgiler açığa çıktı.

Durum daha da kötüleşti

  • /orgs/0/users altında yönetici kullanıcı listesi alınıp yeni bir kayıt eklendiğinde yönetici paneline tamamen erişmek mümkün oldu.
  • Bu, sistem üzerinde daha fazla denetim sağlıyor; başvuranları onaylama/reddetme veya Chattr'a ödenen tutarları iade etme gibi işlemler yapılabiliyordu.

Zaman çizelgesi (GG/AA)

  • 06/01 - Açık keşfedildi
  • 09/01 - Dokümantasyon tamamlandı ve e-posta gönderildi
  • 10/01 - Açık yamalandı
  • Şu ana kadar herhangi bir iletişim ya da teşekkür alınmadı. Bir geri dönüş olursa bu yazı güncellenecek.

Katkıda bulunanlar

  • Bu pentest ve sorumlu açıklama sürecinde yardımcı olan arkadaşlara teşekkür edildi.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Hugo Bear ile oluşturuldu, Privex üzerinde barındırılıyor.

GN⁺ görüşü

  • Bu olay, yeni yapay zeka teknoloji şirketleri güvenliğe yeterince dikkat etmediğinde ortaya çıkabilecek ciddi zafiyetleri gösteriyor.
  • Chattr.ai gibi hizmetlerin sunduğu kolaylığın arkasında gizlenen riskleri fark etmek için bir vesile oluyor.
  • Uygun güvenlik önlemleri olmadan hizmet yayına almanın ne kadar büyük zararlara yol açabileceğini gösteren bir örnek olarak, güvenlik farkındalığını artırmaya yardımcı oluyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-10
Hacker News görüşleri

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Keşiften yamaya kadar zaman çizelgesi

      • 6 Ocak: Güvenlik açığı keşfedildi
      • 9 Ocak: Dokümantasyon tamamlandı ve e-posta gönderildi
      • 10 Ocak: Güvenlik açığı yamandı
      • Güvenlik açığının bir gün içinde yamalanması olumlu değerlendiriliyor.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Güvenlik açığı keşfedildikten sonra bildirimdeki gecikmeye dair görüş
      • Yazarın çok büyük bir güvenlik açığı bulmasına rağmen düzgün bir raporu tamamlamak için birkaç gün beklemiş olmasını ilginç buluyor.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • HackerOne deneyimi
      • Küçük bir güvenlik açığı bulup bunu daha büyük bir açığa dönüştürerek daha yüksek ödül almaya çalışırken aylarca bekleyen, sonra da o sırada açığın zaten yamandığını öğrenip öfkelenen katılımcılar olduğunu anlatıyor.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Pentestin arka planına dair soru işaretleri
      • Yazarın bu pentest için resmen tutulup tutulmadığı ya da bunu gönüllü olarak mı yaptığı net değil. Eğer ikincisiyse, bunu nasıl bu kadar pervasızca yaptığını merak ediyor. chattr.ai'nin sorumlu açıklama politikası olup olmadığını soruyor.

  • How much would this leak go for in the darknet?

    • Sızan verinin darknet'teki değerine dair soru
      • Bu tür bir sızıntının darknet'te ne kadar edeceğini soruyor.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Eva'nın gönderisinde Firebase güvenlik açığı tarama aracından bahsedilmesi

      • O sırada Firebase hakkında çok şey bilmedikleri için bariz bir zafiyet olup olmadığını görmek üzere bir araç aradıklarını, GUI aracı olarak uygun görünen firepwn'u bulup chattr'ın Firebase bilgilerini girdiklerini söylüyor.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Güvenlik araçlarının riski hakkında soru
      • Bilgi güvenliği tecrübesi olmadığını belirten bir kullanıcı, böyle bir aracın araştırma sırasında bulunan her şeyi kendi sunucusuna gönderip kaydetme riski taşıyıp taşımadığını samimiyetle merak ediyor.

  • Full permissions for a user is blatant negligence.

    • Kullanıcıya tam yetki verilmesine eleştiri
      • Bir kullanıcıya tam yetki vermenin apaçık bir ihmal olduğunu söylüyor.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Güvenlik açığı sömürülseydi hukuki sorumluluk olur muydu sorusu
      • Eğer bu açık istismar edilip Target, Subway, Dunkin ve benzeri şirketlere iş başvurusunda bulunan kişilerin adına banka/kredi dolandırıcılığı yapılmış olsaydı, büyük şirketlerin chatter.ai üzerinde yeterli inceleme yapmamış olmaları nedeniyle sorumlu olup olmayacağını soruyor.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Açığı ilk bulanların kim olduğu sorusu
      • Bunu ilk keşfedenlerin gerçekten onlar olup olmadığını, en azından keşfedip düzeltmek için bir şey yapan ilk kişiler olabileceklerini söylüyor.

  • I thought there was a US law now where breaches like this have to be reported?

    • Veri ihlali bildirim zorunluluğuna değinme
      • Bu tür ihlallerin artık ABD'de bildirilmesini zorunlu kılan bir yasa olduğunu düşündüğünü belirtiyor.

  • Firebase is a shitshow.

    • Firebase'e yönelik eleştirel görüş
      • Firebase'i oldukça berbat bulduğunu ifade ediyor.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Yazıya dair olumlu değerlendirme
      • Yazının iyi yapıldığını, iyi yazıldığını ve yaklaşımının çok yerinde olduğunu söylüyor; eksik kalan takdiri HN'nin tamamladığını belirterek chattr'ın ne kadar profesyonellikten uzak bir şirket olduğunu ekliyor.

  • Article gets to the point very quickly, nice.

    • Yazının doğrudan üslubuna övgü
      • Yazının çok hızlı biçimde konuya girdiğini ve bunun hoş olduğunu söylüyor.