I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.
취약점 발견 후 보고 지연에 대한 의견
저자가 큰 취약점을 발견하고도 멋진 보고서를 작성하기 위해 며칠 기다렸다는 사실이 재미있다고 평함.
Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.
HackerOne 경험담
작은 취약점을 발견하고 이를 큰 취약점으로 확대하려고 몇 달간 기다리다가, 이미 패치된 사실을 알고 분노하는 참가자들이 있었다는 경험을 공유함.
It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?
펜테스트 수행 배경에 대한 의문
저자가 공식적으로 펜테스트를 의뢰받은 것인지, 아니면 자발적으로 행동한 것인지 명확하지 않음. chattr.ai가 책임 있는 공개 정책을 가지고 있는지 궁금해함.
How much would this leak go for in the darknet?
유출 정보의 다크넷 가치에 대한 질문
이러한 유출 정보가 다크넷에서 얼마나 할지에 대해 물음.
From Eva’s post:
we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase
Eva의 게시물에서 Firebase 취약점 탐색 도구에 대한 언급
Firebase에 대한 지식이 부족했기 때문에 취약점을 찾기 위한 도구를 찾았고, firepwn이라는 GUI 도구를 사용해 chattr의 Firebase 정보를 입력했다고 함.
Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?
보안 도구의 위험성에 대한 질문
정보 보안 경험이 없는 사용자가 연구 중 발견한 모든 것을 기록하고 외부로 전송할 위험이 있는지에 대해 진지하게 궁금해함.
Full permissions for a user is blatant negligence.
사용자에게 전체 권한 부여에 대한 비판
사용자에게 전체 권한을 부여하는 것은 명백한 부주의라고 비판함.
If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?
취약점이 악용되었을 경우의 법적 책임에 대한 질문
만약 취약점이 악용되어 Target, Subway, Dunkin 등의 지원자들이 금융 사기 피해를 입었다면, 해당 대기업들이 chattr.ai에 대한 충분한 실사를 하지 않은 것에 대한 법적 책임이 있는지 물음.
Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.
취약점 발견자에 대한 의문
이들이 취약점을 처음 발견한 사람인지, 또한 발견하고 해결 조치를 취한 최초의 사람인지에 대해 의문을 제기함.
I thought there was a US law now where breaches like this have to be reported?
데이터 유출 보고 의무에 대한 언급
이러한 유형의 데이터 유출이 반드시 보고되어야 하는 미국 법이 있는 것으로 알고 있다고 언급함.
Firebase is a shitshow.
Firebase에 대한 비판적인 의견
Firebase를 실제로 사용해보고 프로젝트를 진행했지만, 보안 취약점 외에도 다양한 문제점이 있어 비판적인 의견을 제시함.
Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)
기사 작성에 대한 긍정적인 평가
기사가 잘 작성되었고, 훌륭한 접근 방식을 보여주었다고 평가하며, chattr에 대한 비전문적인 태도를 지적함.
Hacker News 의견
06/01 - Vulnerability Discovered
09/01 - Write-up completed & Emailed to them
10/01 - Vulnerability patched
발견부터 패치까지의 타임라인
Eva의 게시물에서 Firebase 취약점 탐색 도구에 대한 언급