L’affaire du piratage simultané de la moitié des chaînes de fast-food américaines

 (mrbruh.com)
2 points par GN⁺ 2024-01-10 | 1 commentaires | Partager sur WhatsApp

Comment la moitié des chaînes de fast-food américaines ont été piratées simultanément

  • Une notification de fin d’exécution de script s’affiche dans la console avec un son enjoué. Ce script cherche les sites, parmi les centaines de startups IA apparues récemment, dont les identifiants Firebase sont exposés.
  • Recherche publique d’une liste de sites utilisant le domaine de premier niveau .ai, puis identification des variables d’initialisation Firebase dans les données du site et les bundles .js référencés.
  • L’hypothèse était que certains avaient probablement foncé vers le lancement du produit sans mettre en place de règles de sécurité appropriées.

Rencontre avec Chattr.ai

  • Chattr.ai est un système de recrutement par IA qui affirme réduire de 88 % le temps d’embauche.
  • Il fournit ses services à des chaînes de fast-food à travers les États-Unis ainsi qu’à d’autres entreprises qui recrutent des travailleurs horaires.
  • Parmi elles : Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys.

Découverte de la vulnérabilité

  • En injectant la configuration Firebase du bundle JS dans Firepwn, aucun droit n’est accordé au départ.
  • Mais en utilisant la fonction d’inscription de Firebase pour créer un nouvel utilisateur, on obtient des droits complets sur la base de données Firebase (lecture/écriture).
  • Les données exposées incluaient des noms, numéros de téléphone, adresses e-mail, mots de passe en clair pour certains comptes, emplacements de succursales, messages confidentiels, plannings de travail, etc.
  • Des informations concernant des employés de Chattr, des managers de franchise, des candidats et d’autres personnes ont été exposées.

La situation empire encore

  • En récupérant la liste des utilisateurs administrateurs via /orgs/0/users puis en ajoutant une nouvelle entrée, il devient possible d’accéder entièrement au tableau de bord administrateur.
  • Cela permet un contrôle encore plus étendu du système, notamment l’acceptation ou le refus de candidatures, ou encore le remboursement des montants versés à Chattr.

Chronologie (JJ/MM)

  • 06/01 - Découverte de la vulnérabilité
  • 09/01 - Documentation terminée et e-mail envoyé
  • 10/01 - Correctif appliqué
  • À ce jour, aucun contact ni remerciement n’ont été reçus. Si cela change, cet article sera mis à jour.

Crédits

  • Merci aux amis qui ont aidé pour ce pentest et cette divulgation responsable.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Créé avec Hugo Bear, hébergé chez Privex.

L’avis de GN⁺

  • Cette affaire montre les vulnérabilités graves qui peuvent apparaître lorsque de nouvelles entreprises technologiques spécialisées dans l’IA n’accordent pas une attention suffisante à la sécurité.
  • Elle rappelle les risques cachés derrière la commodité offerte par des services comme Chattr.ai.
  • C’est un exemple qui montre l’ampleur des dégâts possibles lorsqu’un service est lancé sans mesures de sécurité appropriées, et qui contribue à renforcer la sensibilisation aux enjeux de sécurité.

À lire aussi

1 commentaires

 
GN⁺ 2024-01-10
Avis Hacker News

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • Chronologie entre la découverte et le correctif

      • 6 janvier : vulnérabilité découverte
      • 9 janvier : rédaction terminée et e-mail envoyé
      • 10 janvier : vulnérabilité corrigée
      • Le fait que la vulnérabilité ait été corrigée en une journée est évalué positivement.

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • Avis sur le délai de signalement après la découverte de la vulnérabilité
      • Il trouve amusant que l’auteur ait découvert une faille majeure mais ait attendu quelques jours pour la signaler afin de pouvoir finir un beau rapport.

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • Retour d’expérience sur HackerOne
      • Il partage son expérience de participants qui découvraient une petite vulnérabilité, puis la gardaient pendant des mois en essayant de la transformer en faille plus importante pour obtenir une récompense plus élevée, avant de découvrir avec colère qu’elle avait déjà été corrigée.

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • Questionnement sur le contexte du pentest
      • Il n’est pas clair si l’auteur a été officiellement engagé pour réaliser ce pentest, ou s’il a agi de sa propre initiative. Il se demande aussi si chattr.ai dispose d’une politique de divulgation responsable.

  • How much would this leak go for in the darknet?

    • Question sur la valeur de ces données sur le dark web
      • Il demande combien ce type de fuite pourrait valoir sur le dark web.

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Mention d’un outil d’exploration des vulnérabilités Firebase dans le billet d’Eva

      • Comme elles connaissaient mal Firebase à l’époque, elles ont cherché un outil pour vérifier l’existence de vulnérabilités évidentes, ont trouvé firepwn, qui leur a semblé pratique comme outil GUI, puis ont simplement saisi les informations du Firebase de chattr.

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • Question sur les risques liés aux outils de sécurité
      • Un utilisateur sans expérience en infosec se demande sincèrement s’il n’y a pas un risque qu’un outil comme celui-ci renvoie les données à son éditeur et enregistre tout ce qui est découvert pendant les recherches.

  • Full permissions for a user is blatant negligence.

    • Critique de l’octroi de tous les droits à un utilisateur
      • Il critique le fait d’accorder toutes les permissions à un utilisateur, qu’il considère comme une négligence flagrante.

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • Question sur la responsabilité juridique en cas d’exploitation de la faille
      • Il demande si, si la vulnérabilité avait été exploitée et que des candidats chez Target, Subway, Dunkin et d’autres avaient subi une fraude bancaire ou au crédit en leur nom, ces grandes entreprises pourraient être tenues responsables pour ne pas avoir suffisamment vérifié chattr.ai.

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • Doute sur les découvreurs de la vulnérabilité
      • Il remet en question le fait qu’ils soient les premiers à avoir découvert la faille, tout en notant qu’ils sont peut-être les premiers à l’avoir découverte et à avoir agi pour la faire corriger.

  • I thought there was a US law now where breaches like this have to be reported?

    • Mention d’une obligation de signalement des fuites de données
      • Il dit penser qu’il existe désormais aux États-Unis une loi imposant de signaler ce type de fuite de données.

  • Firebase is a shitshow.

    • Opinion très critique sur Firebase
      • Il exprime un avis très négatif sur Firebase, en expliquant que l’avoir réellement utilisé sur des projets lui a fait constater divers problèmes au-delà des seules failles de sécurité.

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • Évaluation positive de la rédaction de l’article
      • Il juge l’article bien mené, bien écrit et très diplomate, tout en soulignant que HN compense l’absence de reconnaissance et en critiquant le manque de professionnalisme de chattr.

  • Article gets to the point very quickly, nice.

    • Évaluation positive du style direct de l’article
      • Il félicite l’article pour sa manière d’aller très vite à l’essentiel.