2 puan yazan GN⁺ 2024-01-10 | 1 yorum | WhatsApp'ta paylaş
  • Bir güvenlik araştırmacısı, .ai TLD sitelerini ve JS bundle’larını tarayarak Firebase başlatma değişkenlerini ararken Chattr.ai’nin açığa çıkmış yapılandırmasını keşfetti
  • Chattr.ai, işe alım süresini %88 azalttığını öne süren bir yapay zeka işe alım sistemi; Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target, Wendys gibi birçok fast-food ve saatlik çalışan istihdam eden şirket tarafından kullanılıyordu
  • JS bundle’ındaki Firebase ayarları tek başına erişime izin vermiyordu; ancak Firebase’in kayıt özelliği ile yeni kullanıcı oluşturulunca DB okuma/yazma yetkileri açıldı
  • Açığa çıkan bilgiler arasında adlar, telefon numaraları, e-postalar, bazı hesapların düz metin parolaları, şube konumları, gizli mesajlar ve vardiya bilgileri vardı; Chattr çalışanları, franchise yöneticileri ve iş başvuru sahipleri etkilendi
  • Açık 06/01’de bulundu, 09/01’de bildirildi, 10/01’de yamandı ve 11/01’de destek talebi kapatıldı; ancak açıkça istenmesine rağmen teşekkür ya da ek iletişim olmadı

Firebase taramasından Chattr.ai’ye

  • Araştırmacı, yakın zamanda yüzlerce yapay zeka girişiminde açığa çıkmış Firebase kimlik bilgileri arayan bir betik çalıştırdı
    • Herkese açık .ai TLD site listesini kullandı
    • Site verilerini ve referans verilen .js bundle’larını ayrıştırarak Firebase başlatma değişkeni referanslarını aradı
  • Ürünleri hızla piyasaya sürme sürecinde birilerinin güvenlik kurallarını düzgün uygulamamış olabileceğini bulmayı hedefledi ve gerçekten de daha ciddi bir sorun ortaya çıktı
  • Chattr.ai, yeni işe alım süresini %88 kısalttığını öne süren bir yapay zeka işe alım sistemi
    • İşe alım süresini kısaltma iddiası: {p:88}
  • Hizmeti kullanan şirketlere örnek olarak şu markalar listeleniyor
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Yetki yükseltme yöntemi ve açığa çıkan veriler

  • JS bundle’ından alınan Firebase yapılandırması Firepwn’e girildiğinde başlangıçta yetkisiz durumda başlıyor
  • Daha sonra Firebase’in kayıt özelliğiyle yeni bir kullanıcı oluşturulunca, Chattr.ai sitesinde kayıt olmak mümkün olmamasına rağmen Firebase DB üzerinde tam okuma/yazma yetkisi elde edildi
  • Açığa çıkan veriler şunları içeriyordu
    • Ad
    • Telefon numarası
    • E-posta
    • Bazı hesapların düz metin parolaları
    • Şube konumu
    • Gizli mesajlar
    • Vardiya bilgileri
  • Etkilenen gruplar Chattr çalışanları, franchise yöneticileri ve iş başvuru sahipleriydi

İfşa ve yama takvimi

  • 06/01: Açık keşfedildi
  • 09/01: Hazırlanan rapor Chattr.ai’ye e-posta ile gönderildi
  • 10/01: Açık yamandı
  • 11/01: Destek talebi kapatıldı; açıkça talep edilmesine rağmen teşekkür ya da ek iletişim olmadı

1 yorum

 
GN⁺ 2024-01-10
Hacker News yorumları
  • Yazarın bu sızma testini yapmak üzere görevlendirilip görevlendirilmediği, yoksa gerilla tarzı iyi niyetli bir üçüncü taraf mı olduğu belirsiz
    İkincisiyse, nasıl bu kadar cesur olabildiğini merak ediyorum. chattr.ai'nin sorumlu açıklama politikası var mı? Zarar verme niyeti yoksa ve bulgularını bildiriyorsa herkesin özgürce sızma testi yapabilmesi gerektiğini düşünüyorum. Ne yazık ki birçok şirket, iyi niyetli olsa bile korkup hukuki yollara başvurabiliyor

    • “Son zamanlarda yüzlerce AI startup'ında açığa çıkmış Firebase kimlik bilgileri arıyordum” kısmı bunu epey net gösteriyor. Yüzlerce startup'ı tarayan bir script çalıştırmış
      İyi niyetli bir üçüncü taraf olsa bile şirket hukuki yollara başvurabilir; ancak böyle durumlarda iş çoğu zaman şirketin kamuoyu önünde epey rezil olmasıyla da sonuçlanabiliyor
    • Web zaten yeterince güvensiz; ben sadece onu biraz daha güvenli hale getirmek için üzerime düşeni yapmak istiyorum
    • Bu tür olaylar düzenleyici kurumların şirketi daha yakından incelemesine de vesile olabiliyor
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Fiziksel güvenlik konusunda da aynı fikirde olup olmadığını merak ediyorum. Birinin binanın etrafında dolaşması, pencerelerden içeri bakması, kapı kilitlerini açması, hatta içeride biraz dolaşması; hiçbir şey çalmadığı sürece sorun değil mi?
    • Düzgün regülasyonlar, mühendislik standartları ve gerçek anlamda para cezaları yoksa, geriye var olan tek demokrasi insanların bizzat harekete geçmesidir
      Hacklenen şirketlerde de yeterince kötü niyet var; odaklanılması gereken taraf daha çok orası
  • Zaman çizelgesinde yazının çevrimiçi yayımlandığı an eksik

  • Şu anda bağlantıya girince bir sürü Prometheus metriği dönüyor. İlginç

    • Artık öyle olmayacak. “Prod ortamına deploy ettiğim” ana denk gelmişti
      Siteye trafik yığıldı, analiz etmem gerekiyordu
  • Bunun CFAA kapsamında yetkilendirilmiş erişim sayılıp sayılmadığını merak ediyorum
    Sınırın nerede olduğunu bilmek isterim

  • Tekrar düşününce, gerçekten risk altında olanların bu şirketlerde komik denecek kadar düşük saat ücretleriyle işe girmeye çalışan zavallı insanlar olduğunu düşünüyorum
    Bunun şirketin kendisini nasıl “p0wn” ettiğini pek anlamıyorum

  • Bu sayfayı Safari ile açınca düz metin belgesi gibi görünüyor

    • Görsellerde AVIF formatı kullanılıyor. PNG'ye göre 2 kat sıkıştırma avantajı sağlarken JPG'den daha yüksek kaliteyi korumak için
      Görseller görünmüyorsa muhtemelen eski bir tarayıcı kullanıyorsunuzdur. Bildiğim kadarıyla Internet Explorer hariç güncel sürüm tarayıcıların hepsi destekliyor. Internet Explorer kullanıyorsanız da Tanrı yardımcınız olsun
      [0] https://caniuse.com/avif
    • Mac'teki Safari 16.1'de öyle görünmüyor
    • Konu güvenlik olduğuna göre, internette güvende kalmak için tarayıcınızı güncellemeniz gerektiğine dair bugünün hatırlatması
      Güncel Safari AVIF görsellerini destekliyor ve geçen yıl Safari'de gerçek exploit'leri bilinen birkaç uzaktan kod çalıştırma açığı düzeltildi