2 points par GN⁺ 2024-01-10 | 1 commentaires | Partager sur WhatsApp
  • En parcourant des sites en TLD .ai et leurs bundles JS à la recherche de variables d’initialisation Firebase, un chercheur en sécurité a découvert une configuration exposée de Chattr.ai
  • Chattr.ai est un système de recrutement par IA présenté comme capable de réduire de 88 % le temps d’embauche, utilisé par de nombreuses entreprises de fast-food et de recrutement horaire, dont Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Subway, Tacobell, Target et Wendys
  • L’accès était d’abord bloqué avec la seule configuration Firebase du bundle JS, mais la création d’un nouvel utilisateur via la fonction d’inscription de Firebase a ouvert les droits de lecture et d’écriture sur la base de données
  • Les informations exposées comprenaient des noms, numéros de téléphone, e-mails, mots de passe en clair pour certains comptes, emplacements de succursales, messages confidentiels et informations sur les rotations de travail, avec un impact sur les employés de Chattr, les responsables de franchise et les candidats
  • La faille a été découverte le 06/01, signalée le 09/01, corrigée le 10/01, puis le ticket de support a été fermé le 11/01, sans remerciement ni suivi malgré une demande explicite

Du scan Firebase à Chattr.ai

  • Le chercheur a récemment exécuté un script sur des centaines de startups IA pour rechercher des identifiants Firebase exposés
    • En utilisant une liste publique de sites en TLD .ai
    • En analysant les données des sites et les bundles .js référencés pour y trouver des références aux variables d’initialisation Firebase
  • Il cherchait à repérer les cas où, dans la course au lancement rapide d’un produit, quelqu’un n’aurait pas correctement implémenté les règles de sécurité, mais il a finalement mis au jour un problème plus grave encore
  • Chattr.ai est un système de recrutement par IA qui affirme réduire de 88 % le temps nécessaire à une nouvelle embauche
    • Affirmation sur la réduction du temps d’embauche : {p:88}
  • Les marques suivantes sont citées comme exemples d’entreprises utilisant le service
    • Applebees
    • Arbys
    • Chickfila
    • Dunkin
    • IHOP
    • KFC
    • Shoneys
    • Subway
    • Tacobell
    • Target
    • Wendys

Méthode d’élévation de privilèges et données exposées

  • En injectant la configuration Firebase extraite du bundle JS dans Firepwn, l’accès démarrait d’abord sans autorisation
  • Ensuite, en créant un nouvel utilisateur via la fonction d’inscription de Firebase, il a obtenu des droits complets de lecture/écriture sur la base de données Firebase, alors même qu’il n’était pas possible de s’inscrire sur le site de Chattr.ai
  • Les données exposées comprenaient notamment
    • Noms
    • Numéros de téléphone
    • E-mails
    • Mots de passe en clair pour certains comptes
    • Emplacements de succursales
    • Messages confidentiels
    • Informations sur les rotations de travail
  • Les groupes affectés étaient les employés de Chattr, les responsables de franchise et les candidats

Calendrier de divulgation et correctif

  • 06/01 : découverte de la faille
  • 09/01 : envoi par e-mail du rapport rédigé à Chattr.ai
  • 10/01 : correctif appliqué
  • 11/01 : fermeture du ticket de support, sans remerciement ni autre contact malgré une demande explicite

1 commentaires

 
GN⁺ 2024-01-10
Commentaires sur Hacker News
  • On ne sait pas clairement si l’auteur avait été mandaté pour ce test d’intrusion, ou s’il s’agissait d’un tiers bien intentionné agissant en mode guérilla
    Si c’est le second cas, je me demande comment il peut être aussi audacieux. chattr.ai a-t-il une politique de divulgation responsable ? À mon avis, toute personne sans intention de nuire et qui signale ses découvertes devrait pouvoir effectuer librement des tests d’intrusion. Malheureusement, beaucoup d’entreprises, même face à une démarche de bonne foi, prennent peur et vont jusqu’à engager des poursuites

    • Le passage disant qu’il « recherchait des identifiants Firebase exposés dans des centaines de startups IA » semble assez clair. Il a fait tourner un script pour scanner des centaines de startups
      Même s’il s’agit d’un tiers bien intentionné, l’entreprise peut toujours engager une action en justice, mais dans ce genre de cas, cela se termine souvent surtout par une humiliation publique pour elle
    • Le web est déjà suffisamment peu sûr ; je veux simplement faire ma part pour le rendre un tout petit peu plus sûr
    • Ce type d’affaire peut aussi amener les autorités de régulation à examiner l’entreprise de plus près
      https://www.ftc.gov/news-events/news/press-releases/2023/11/...
    • Je me demande si vous pensez la même chose de la sécurité physique. Si quelqu’un tourne autour d’un bâtiment, regarde par les fenêtres, force les serrures des portes, et va même jusqu’à se promener un peu à l’intérieur sans rien voler, est-ce que c’est acceptable ?
    • Sans véritable régulation, sans normes d’ingénierie, et sans amendes dissuasives, la seule démocratie qui reste au final, c’est l’action directe des gens eux-mêmes
      Les entreprises piratées ont elles aussi une part suffisante de malveillance, donc c’est plutôt là-dessus qu’il faudrait se concentrer
  • Il manque dans la chronologie le moment où l’article a été mis en ligne

    • D’après la Wayback Machine, il apparaît pour la première fois le 10 janvier 2024
      http://web.archive.org/web/20240000000000*/https://mrbruh.co...
    • Je l’ai publié plus tôt aujourd’hui (heure de Nouvelle-Zélande). S’ils me contactent, je prévois de remplacer cette partie par une formulation corrigée :)
  • À l’heure actuelle, le lien renvoie une tonne de métriques Prometheus. Intéressant

    • Ce ne sera plus le cas maintenant. C’était le moment où je « déployais en production »
      Le site recevait beaucoup de trafic, donc j’avais besoin d’analyser
  • Je me demande si cela relève de l’accès autorisé au sens du CFAA
    J’aimerais savoir où se situe la limite

  • En y repensant, les personnes réellement mises en danger semblent être ces pauvres gens qui essaient de se faire embaucher dans ce genre d’entreprise pour un salaire horaire dérisoire
    Je ne vois pas très bien en quoi cela « p0wn » réellement l’entreprise elle-même

  • Quand on regarde cette page dans Safari, elle apparaît simplement comme un document texte

    • Les images utilisent le format AVIF. C’est pour obtenir une compression deux fois meilleure que le PNG tout en conservant une qualité supérieure au JPG
      Si les images ne s’affichent pas, vous utilisez probablement un vieux navigateur. À ma connaissance, toutes les versions actuelles des navigateurs, sauf Internet Explorer, le prennent en charge. Et si vous utilisez Internet Explorer, que Dieu vous vienne en aide
      [0] https://caniuse.com/avif
    • Sur Safari 16.1 sur Mac, ça ne s’affiche pas comme ça
    • Puisqu’il s’agit d’un article sur la sécurité, voici le rappel du jour : pour rester en sécurité sur Internet, mettez votre navigateur à jour
      Les versions récentes de Safari prennent en charge les images AVIF, et plusieurs vulnérabilités d’exécution de code à distance ayant fait l’objet de véritables exploits ont été corrigées dans Safari l’an dernier