L’incident de piratage qui a touché simultanément la moitié des chaînes de fast-food américaines
(mrbruh.com)- En parcourant des sites en TLD
.aiet leurs bundles JS à la recherche de variables d’initialisation Firebase, un chercheur en sécurité a découvert une configuration exposée de Chattr.ai - Chattr.ai est un système de recrutement par IA présenté comme capable de réduire de 88 % le temps d’embauche, utilisé par de nombreuses entreprises de fast-food et de recrutement horaire, dont Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target et Wendys
- L’accès était d’abord bloqué avec la seule configuration Firebase du bundle JS, mais la création d’un nouvel utilisateur via la fonction d’inscription de Firebase a ouvert les droits de lecture et d’écriture sur la base de données
- Les informations exposées comprenaient des noms, numéros de téléphone, e-mails, mots de passe en clair pour certains comptes, emplacements de succursales, messages confidentiels et informations sur les rotations de travail, avec un impact sur les employés de Chattr, les responsables de franchise et les candidats
- La faille a été découverte le 06/01, signalée le 09/01, corrigée le 10/01, puis le ticket de support a été fermé le 11/01, sans remerciement ni suivi malgré une demande explicite
Du scan Firebase à Chattr.ai
- Le chercheur a récemment exécuté un script sur des centaines de startups IA pour rechercher des identifiants Firebase exposés
- En utilisant une liste publique de sites en TLD
.ai - En analysant les données des sites et les bundles
.jsréférencés pour y trouver des références aux variables d’initialisation Firebase
- En utilisant une liste publique de sites en TLD
- Il cherchait à repérer les cas où, dans la course au lancement rapide d’un produit, quelqu’un n’aurait pas correctement implémenté les règles de sécurité, mais il a finalement mis au jour un problème plus grave encore
- Chattr.ai est un système de recrutement par IA qui affirme réduire de 88 % le temps nécessaire à une nouvelle embauche
- Affirmation sur la réduction du temps d’embauche : {p:88}
- Les marques suivantes sont citées comme exemples d’entreprises utilisant le service
- Applebees
- Arbys
- Chickfila
- Dunkin
- IHOP
- KFC
- Shoneys
- Subway
- Tacobell
- Target
- Wendys
Méthode d’élévation de privilèges et données exposées
- En injectant la configuration Firebase extraite du bundle JS dans Firepwn, l’accès démarrait d’abord sans autorisation
- Ensuite, en créant un nouvel utilisateur via la fonction d’inscription de Firebase, il a obtenu des droits complets de lecture/écriture sur la base de données Firebase, alors même qu’il n’était pas possible de s’inscrire sur le site de Chattr.ai
- Les données exposées comprenaient notamment
- Noms
- Numéros de téléphone
- E-mails
- Mots de passe en clair pour certains comptes
- Emplacements de succursales
- Messages confidentiels
- Informations sur les rotations de travail
- Les groupes affectés étaient les employés de Chattr, les responsables de franchise et les candidats
Calendrier de divulgation et correctif
- 06/01 : découverte de la faille
- 09/01 : envoi par e-mail du rapport rédigé à Chattr.ai
- 10/01 : correctif appliqué
- 11/01 : fermeture du ticket de support, sans remerciement ni autre contact malgré une demande explicite
1 commentaires
Commentaires sur Hacker News
On ne sait pas clairement si l’auteur avait été mandaté pour ce test d’intrusion, ou s’il s’agissait d’un tiers bien intentionné agissant en mode guérilla
Si c’est le second cas, je me demande comment il peut être aussi audacieux. chattr.ai a-t-il une politique de divulgation responsable ? À mon avis, toute personne sans intention de nuire et qui signale ses découvertes devrait pouvoir effectuer librement des tests d’intrusion. Malheureusement, beaucoup d’entreprises, même face à une démarche de bonne foi, prennent peur et vont jusqu’à engager des poursuites
Même s’il s’agit d’un tiers bien intentionné, l’entreprise peut toujours engager une action en justice, mais dans ce genre de cas, cela se termine souvent surtout par une humiliation publique pour elle
https://www.ftc.gov/news-events/news/press-releases/2023/11/...
Les entreprises piratées ont elles aussi une part suffisante de malveillance, donc c’est plutôt là-dessus qu’il faudrait se concentrer
Il manque dans la chronologie le moment où l’article a été mis en ligne
http://web.archive.org/web/20240000000000*/https://mrbruh.co...
À l’heure actuelle, le lien renvoie une tonne de métriques Prometheus. Intéressant
Le site recevait beaucoup de trafic, donc j’avais besoin d’analyser
Je me demande si cela relève de l’accès autorisé au sens du CFAA
J’aimerais savoir où se situe la limite
En y repensant, les personnes réellement mises en danger semblent être ces pauvres gens qui essaient de se faire embaucher dans ce genre d’entreprise pour un salaire horaire dérisoire
Je ne vois pas très bien en quoi cela « p0wn » réellement l’entreprise elle-même
Quand on regarde cette page dans Safari, elle apparaît simplement comme un document texte
Si les images ne s’affichent pas, vous utilisez probablement un vieux navigateur. À ma connaissance, toutes les versions actuelles des navigateurs, sauf Internet Explorer, le prennent en charge. Et si vous utilisez Internet Explorer, que Dieu vous vienne en aide
[0] https://caniuse.com/avif
Les versions récentes de Safari prennent en charge les images AVIF, et plusieurs vulnérabilités d’exécution de code à distance ayant fait l’objet de véritables exploits ont été corrigées dans Safari l’an dernier