- Bir güvenlik araştırmacısı,
.aiTLD sitelerini ve JS bundle’larını tarayarak Firebase başlatma değişkenlerini ararken Chattr.ai’nin açığa çıkmış yapılandırmasını keşfetti - Chattr.ai, işe alım süresini %88 azalttığını öne süren bir yapay zeka işe alım sistemi; Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys gibi birçok fast-food ve saatlik çalışan istihdam eden şirket tarafından kullanılıyordu
- JS bundle’ındaki Firebase ayarları tek başına erişime izin vermiyordu; ancak Firebase’in kayıt özelliği ile yeni kullanıcı oluşturulunca DB okuma/yazma yetkileri açıldı
- Açığa çıkan bilgiler arasında adlar, telefon numaraları, e-postalar, bazı hesapların düz metin parolaları, şube konumları, gizli mesajlar ve vardiya bilgileri vardı; Chattr çalışanları, franchise yöneticileri ve iş başvuru sahipleri etkilendi
- Açık 06/01’de bulundu, 09/01’de bildirildi, 10/01’de yamandı ve 11/01’de destek talebi kapatıldı; ancak açıkça istenmesine rağmen teşekkür ya da ek iletişim olmadı
Firebase taramasından Chattr.ai’ye
- Araştırmacı, yakın zamanda yüzlerce yapay zeka girişiminde açığa çıkmış Firebase kimlik bilgileri arayan bir betik çalıştırdı
- Herkese açık
.aiTLD site listesini kullandı - Site verilerini ve referans verilen
.jsbundle’larını ayrıştırarak Firebase başlatma değişkeni referanslarını aradı
- Herkese açık
- Ürünleri hızla piyasaya sürme sürecinde birilerinin güvenlik kurallarını düzgün uygulamamış olabileceğini bulmayı hedefledi ve gerçekten de daha ciddi bir sorun ortaya çıktı
- Chattr.ai, yeni işe alım süresini %88 kısalttığını öne süren bir yapay zeka işe alım sistemi
- İşe alım süresini kısaltma iddiası: {p:88}
- Hizmeti kullanan şirketlere örnek olarak şu markalar listeleniyor
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Yetki yükseltme yöntemi ve açığa çıkan veriler
- JS bundle’ından alınan Firebase yapılandırması Firepwn’e girildiğinde başlangıçta yetkisiz durumda başlıyor
- Daha sonra Firebase’in kayıt özelliğiyle yeni bir kullanıcı oluşturulunca, Chattr.ai sitesinde kayıt olmak mümkün olmamasına rağmen Firebase DB üzerinde tam okuma/yazma yetkisi elde edildi
- Açığa çıkan veriler şunları içeriyordu
- Ad
- Telefon numarası
- E-posta
- Bazı hesapların düz metin parolaları
- Şube konumu
- Gizli mesajlar
- Vardiya bilgileri
- Etkilenen gruplar Chattr çalışanları, franchise yöneticileri ve iş başvuru sahipleriydi
İfşa ve yama takvimi
- 06/01: Açık keşfedildi
- 09/01: Hazırlanan rapor Chattr.ai’ye e-posta ile gönderildi
- 10/01: Açık yamandı
- 11/01: Destek talebi kapatıldı; açıkça talep edilmesine rağmen teşekkür ya da ek iletişim olmadı
1 yorum
Hacker News yorumları
Yazarın bu sızma testini yapmak üzere görevlendirilip görevlendirilmediği, yoksa gerilla tarzı iyi niyetli bir üçüncü taraf mı olduğu belirsiz
İkincisiyse, nasıl bu kadar cesur olabildiğini merak ediyorum. chattr.ai'nin sorumlu açıklama politikası var mı? Zarar verme niyeti yoksa ve bulgularını bildiriyorsa herkesin özgürce sızma testi yapabilmesi gerektiğini düşünüyorum. Ne yazık ki birçok şirket, iyi niyetli olsa bile korkup hukuki yollara başvurabiliyor
İyi niyetli bir üçüncü taraf olsa bile şirket hukuki yollara başvurabilir; ancak böyle durumlarda iş çoğu zaman şirketin kamuoyu önünde epey rezil olmasıyla da sonuçlanabiliyor
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Hacklenen şirketlerde de yeterince kötü niyet var; odaklanılması gereken taraf daha çok orası
Zaman çizelgesinde yazının çevrimiçi yayımlandığı an eksik
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
Şu anda bağlantıya girince bir sürü Prometheus metriği dönüyor. İlginç
Siteye trafik yığıldı, analiz etmem gerekiyordu
Bunun CFAA kapsamında yetkilendirilmiş erişim sayılıp sayılmadığını merak ediyorum
Sınırın nerede olduğunu bilmek isterim
Tekrar düşününce, gerçekten risk altında olanların bu şirketlerde komik denecek kadar düşük saat ücretleriyle işe girmeye çalışan zavallı insanlar olduğunu düşünüyorum
Bunun şirketin kendisini nasıl “p0wn” ettiğini pek anlamıyorum
Bu sayfayı Safari ile açınca düz metin belgesi gibi görünüyor
Görseller görünmüyorsa muhtemelen eski bir tarayıcı kullanıyorsunuzdur. Bildiğim kadarıyla Internet Explorer hariç güncel sürüm tarayıcıların hepsi destekliyor. Internet Explorer kullanıyorsanız da Tanrı yardımcınız olsun
[0] https://caniuse.com/avif
Güncel Safari AVIF görsellerini destekliyor ve geçen yıl Safari'de gerçek exploit'leri bilinen birkaç uzaktan kod çalıştırma açığı düzeltildi