अमेरिका की आधी fast-food chains को एक साथ hack करने की घटना

 (mrbruh.com)
2 पॉइंट द्वारा GN⁺ 2024-01-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें

अमेरिका की आधी fast-food chains को एक साथ hack करने का तरीका

  • कंसोल में एक हल्की, संतोषजनक sound के साथ script execution complete का alert दिखाई दिया। यह script हाल में उभरे सैकड़ों AI startups में से ऐसे sites खोज रही थी जिनमें Firebase credentials exposed थे।
  • .ai top-level domain इस्तेमाल करने वाली sites की सूची को public तौर पर search किया गया, और site data तथा referenced .js bundles में Firebase initialization variables ढूँढे गए।
  • अनुमान था कि product launch की जल्दी में कुछ जगहों पर उचित security rules लागू नहीं किए गए होंगे।

Chattr.ai से मुलाकात

  • Chattr.ai एक AI hiring system है, जो दावा करता है कि यह hiring time को 88% तक कम कर देता है।
  • यह पूरे अमेरिका में fast-food chains और hourly workers को hire करने वाली दूसरी कंपनियों को service देता है।
  • इनमें Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys आदि शामिल हैं।

vulnerability की खोज

  • JS bundle से Firebase config को Firepwn में डालने पर शुरुआत में permission नहीं मिलती।
  • लेकिन Firebase के registration feature का इस्तेमाल करके नया user बनाने पर Firebase DB पर full access (read/write) मिल जाता है।
  • exposed data में names, phone numbers, emails, कुछ accounts के plain-text passwords, store locations, confidential messages, work schedules आदि शामिल थे।
  • Chattr कर्मचारियों, franchise managers, और job applicants जैसी जानकारी exposed थी।

स्थिति और खराब हुई

  • /orgs/0/users से admin users की सूची लाकर उसमें नया entry जोड़ने पर admin dashboard तक पूरा access मिल जाता है।
  • इससे system पर और अधिक control मिल जाता है, जैसे applicants को approve/reject करना या Chattr को किए गए payments refund करना।

timeline (DD/MM)

  • 06/01 - vulnerability मिली
  • 09/01 - documentation पूरी करके email भेजा गया
  • 10/01 - vulnerability patch की गई
  • अब तक कोई संपर्क या धन्यवाद संदेश नहीं मिला। संपर्क आने पर इस post को update किया जाएगा।

credit

  • इस pentest और responsible disclosure में मदद करने वाले दोस्तों का धन्यवाद।
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Hugo Bear से बनाया गया, Privex पर hosted.

GN⁺ की राय

  • यह घटना दिखाती है कि जब नई AI tech कंपनियाँ security पर पर्याप्त ध्यान नहीं देतीं, तो कितनी गंभीर vulnerabilities पैदा हो सकती हैं।
  • यह Chattr.ai जैसी services की सुविधा के पीछे छिपे जोखिमों को समझने का एक अवसर है।
  • यह इस बात का उदाहरण है कि उचित security measures के बिना service launch करने से कितना बड़ा नुकसान हो सकता है, और security के प्रति सतर्कता बढ़ाने में मदद करता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-01-10
Hacker News टिप्पणियाँ

  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • खोज से patch तक की timeline

      • 6 जनवरी: vulnerability की खोज
      • 9 जनवरी: दस्तावेज़ लिखना पूरा किया और ईमेल भेजा
      • 10 जनवरी: vulnerability patch की गई
      • vulnerability को सिर्फ़ एक दिन में patch कर दिया गया, इसे सकारात्मक रूप से देखा गया।

  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • vulnerability मिलने के बाद रिपोर्ट में देरी पर राय
      • लेखक ने बड़ी vulnerability खोज लेने के बाद भी एक अच्छी रिपोर्ट पूरी करने के लिए कुछ दिन इंतज़ार किया, यह बात मज़ेदार लगी।

  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • HackerOne का अनुभव
      • यह अनुभव साझा किया गया कि कुछ प्रतिभागी छोटी vulnerability खोज लेते थे, फिर उसे बड़े vulnerability issue में बदलकर ज़्यादा इनाम पाने की कोशिश में महीनों तक बैठे रहते थे, और बाद में पता चलता था कि वह पहले ही patch हो चुकी है, जिस पर वे नाराज़ हो जाते थे।

  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • pentest किए जाने की पृष्ठभूमि पर सवाल
      • यह स्पष्ट नहीं है कि लेखक को आधिकारिक तौर पर यह pentest करने के लिए रखा गया था या उन्होंने स्वयं पहल की थी। यह भी सवाल है कि chattr.ai के पास responsible disclosure policy है या नहीं।

  • How much would this leak go for in the darknet?

    • लीक हुए डेटा की darknet में कीमत पर सवाल
      • पूछा गया कि इस तरह की लीक हुई जानकारी darknet में कितने में बिक सकती है।

  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Eva की पोस्ट में Firebase vulnerability खोजने वाले टूल का ज़िक्र

      • कहा गया कि उस समय Firebase के बारे में ज़्यादा जानकारी नहीं थी, इसलिए obvious vulnerability ढूँढने के लिए एक टूल खोजा गया, और firepwn नाम का GUI टूल ठीक लगा, इसलिए chattr के Firebase की details उसमें डाल दी गईं।

  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • security tools के जोखिम पर सवाल
      • infosec अनुभव न रखने वाले एक उपयोगकर्ता ने गंभीरता से पूछा कि क्या ऐसे टूल के research के दौरान मिली सारी जानकारी को बाहर भेजने और log करने का जोखिम हो सकता है।

  • Full permissions for a user is blatant negligence.

    • user को full permissions देने पर आलोचना
      • user को full permissions देना साफ़ तौर पर लापरवाही बताया गया।

  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • vulnerability के दुरुपयोग की स्थिति में कानूनी ज़िम्मेदारी पर सवाल
      • पूछा गया कि अगर इस vulnerability का दुरुपयोग होता और Target, Subway, Dunkin आदि में नौकरी के लिए आवेदन करने वालों के नाम पर bank/credit fraud हो जाता, तो क्या बड़ी कंपनियाँ chatter.ai पर पर्याप्त due diligence न करने के लिए ज़िम्मेदार ठहराई जा सकती थीं।

  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • vulnerability खोजने वालों को लेकर सवाल
      • यह सवाल उठाया गया कि कौन कह सकता है कि यही लोग इसे सबसे पहले खोजने वाले थे; हो सकता है ये सिर्फ़ पहले लोग हों जिन्होंने इसे खोजकर ठीक कराने के लिए कुछ किया।

  • I thought there was a US law now where breaches like this have to be reported?

    • data breach reporting obligation का ज़िक्र
      • यह कहा गया कि शायद अमेरिका में अब ऐसा क़ानून है जिसके तहत इस तरह के breach की रिपोर्ट करना अनिवार्य है।

  • Firebase is a shitshow.

    • Firebase पर आलोचनात्मक राय
      • Firebase को लेकर कड़ी आलोचना की गई; कहा गया कि इसे वास्तव में इस्तेमाल करके प्रोजेक्ट चलाने पर security issue के अलावा भी कई समस्याएँ सामने आती हैं।

  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • लेख पर सकारात्मक प्रतिक्रिया
      • कहा गया कि लेख अच्छी तरह लिखा गया है और बहुत tactful है। साथ ही, chattr को बेहद unprofessional firm बताया गया।

  • Article gets to the point very quickly, nice.

    • लेख की सीधी शैली पर सकारात्मक प्रतिक्रिया
      • लेख तेज़ी से मुख्य बात पर आता है, इसके लिए उसकी सराहना की गई।