2P by neo 5달전 | favorite | 댓글 1개

미국 패스트푸드 체인의 절반을 동시에 해킹한 방법

  • 콘솔에 경쾌한 소리와 함께 스크립트 실행 완료 알림이 뜸. 이 스크립트는 최근에 생긴 수백 개의 AI 스타트업 중 Firebase 자격 증명이 노출된 사이트를 찾는 것.
  • .ai 최상위 도메인을 사용하는 사이트 목록을 공개적으로 검색하고, 사이트 데이터 및 참조된 .js 번들에서 Firebase 초기화 변수를 찾아냄.
  • 제품 출시에 급급해 적절한 보안 규칙을 구현하지 않은 경우가 있을 것이라는 예상.

Chattr.ai를 만나다

  • Chattr.ai는 채용 시간을 88% 단축한다고 주장하는 AI 채용 시스템.
  • 미국 전역의 패스트푸드 체인 및 시간제 근로자를 고용하는 다른 회사들에 서비스를 제공함.
  • Applebees, Arbys, Chickfila, Dunkin, IHOP, KFC, Shoneys, Subway, Tacobell, Target, Wendys 등이 포함됨.

취약점 발견

  • JS 번들에서 Firebase 설정을 Firepwn에 넣으면 처음에는 권한이 없음.
  • Firebase의 등록 기능을 사용하여 새 사용자를 생성하면 Firebase DB에 대한 전체 권한(읽기/쓰기)을 얻음.
  • 노출된 데이터에는 이름, 전화번호, 이메일, 일부 계정의 평문 비밀번호, 지점 위치, 기밀 메시지, 근무 시간표 등이 포함됨.
  • Chattr 직원, 프랜차이즈 매니저, 구직자 등의 정보가 노출됨.

상황은 더 악화됨

  • /orgs/0/users에서 관리자 사용자 목록을 가져와 새 항목을 추가하면 관리자 대시보드에 완전히 접근 가능.
  • 시스템에 대한 더 많은 제어를 허용하며, 지원자 승인/거부 또는 Chattr에 지불된 금액 환불 가능.

타임라인 (DD/MM)

  • 06/01 - 취약점 발견
  • 09/01 - 문서 작성 완료 및 이메일 발송
  • 10/01 - 취약점 패치
  • 아직까지 연락이나 감사의 말은 받지 못함. 연락이 오면 이 글을 수정할 예정.

크레딧

  • 이 펜테스트와 책임 있는 공개에 도움을 준 친구들에게 감사함.
  • Logykk
  • Eva - https://kibty.town/blog/chattr
  • Hugo Bear로 제작, Privex에서 호스팅됨.

GN⁺의 의견

  • 이 사건은 새로운 AI 기술 기업들이 보안에 충분한 주의를 기울이지 않을 때 발생할 수 있는 심각한 취약점을 보여줌.
  • Chattr.ai와 같은 서비스가 제공하는 편리함 뒤에 숨겨진 위험성을 인식하는 계기가 됨.
  • 적절한 보안 조치 없이 서비스를 출시하는 것이 얼마나 큰 피해를 초래할 수 있는지를 보여주는 사례로, 보안에 대한 경각심을 높이는 데 도움이 됨.
Hacker News 의견
  • Timeline (DD/MM)

    • 06/01 - Vulnerability Discovered

    • 09/01 - Write-up completed & Emailed to them

    • 10/01 - Vulnerability patched

    • 발견부터 패치까지의 타임라인

      • 1월 6일: 취약점 발견
      • 1월 9일: 문서 작성 완료 및 이메일 전송
      • 1월 10일: 취약점 패치
      • 취약점이 하루 만에 패치된 점을 긍정적으로 평가함.
  • I find it funny that the author found a massive vulnerability but chose to wait a couple days to report it so they could finish a nice write-up.

    • 취약점 발견 후 보고 지연에 대한 의견
      • 저자가 큰 취약점을 발견하고도 멋진 보고서를 작성하기 위해 며칠 기다렸다는 사실이 재미있다고 평함.
  • Reminds me of my experience with HackerOne: We had some participants who would find a small vulnerability, but then sit on it for months while they tried to find a way to turn it into a larger vulnerability to claim a higher prize.

    • HackerOne 경험담
      • 작은 취약점을 발견하고 이를 큰 취약점으로 확대하려고 몇 달간 기다리다가, 이미 패치된 사실을 알고 분노하는 참가자들이 있었다는 경험을 공유함.
  • It's not clear if the author was hired to do this pentest or is a guerilla/good samaritan. If it is indeed the latter, I wonder how they are so brazen about it. Does chattr.ai have a responsible disclosure policy?

    • 펜테스트 수행 배경에 대한 의문
      • 저자가 공식적으로 펜테스트를 의뢰받은 것인지, 아니면 자발적으로 행동한 것인지 명확하지 않음. chattr.ai가 책임 있는 공개 정책을 가지고 있는지 궁금해함.
  • How much would this leak go for in the darknet?

    • 유출 정보의 다크넷 가치에 대한 질문
      • 이러한 유출 정보가 다크넷에서 얼마나 할지에 대해 물음.
  • From Eva’s post:

    • we didnt know much about firebase at the time so we simply tried to find a tool to see if it was vulnerable to something obvious and we found firepwn, which seemed nice for a GUI tool, so we simply entered the details of chattr's firebase

    • Eva의 게시물에서 Firebase 취약점 탐색 도구에 대한 언급

      • Firebase에 대한 지식이 부족했기 때문에 취약점을 찾기 위한 도구를 찾았고, firepwn이라는 GUI 도구를 사용해 chattr의 Firebase 정보를 입력했다고 함.
  • Genuinely curious (I’ve no infosec experience), wouldn’t there be a risk that a tool like this could phone home and log everything you find while doing research?

    • 보안 도구의 위험성에 대한 질문
      • 정보 보안 경험이 없는 사용자가 연구 중 발견한 모든 것을 기록하고 외부로 전송할 위험이 있는지에 대해 진지하게 궁금해함.
  • Full permissions for a user is blatant negligence.

    • 사용자에게 전체 권한 부여에 대한 비판
      • 사용자에게 전체 권한을 부여하는 것은 명백한 부주의라고 비판함.
  • If this had been exploited and the job applicants to Target, Subway, Dunkin et al, had bank/credit fraud committed in their name's, would the big companies be liable for not performing due diligence on chatter.ai?

    • 취약점이 악용되었을 경우의 법적 책임에 대한 질문
      • 만약 취약점이 악용되어 Target, Subway, Dunkin 등의 지원자들이 금융 사기 피해를 입었다면, 해당 대기업들이 chattr.ai에 대한 충분한 실사를 하지 않은 것에 대한 법적 책임이 있는지 물음.
  • Who's to say they're the first to discover this? They're the first to discover it and do something to fix it.

    • 취약점 발견자에 대한 의문
      • 이들이 취약점을 처음 발견한 사람인지, 또한 발견하고 해결 조치를 취한 최초의 사람인지에 대해 의문을 제기함.
  • I thought there was a US law now where breaches like this have to be reported?

    • 데이터 유출 보고 의무에 대한 언급
      • 이러한 유형의 데이터 유출이 반드시 보고되어야 하는 미국 법이 있는 것으로 알고 있다고 언급함.
  • Firebase is a shitshow.

    • Firebase에 대한 비판적인 의견
      • Firebase를 실제로 사용해보고 프로젝트를 진행했지만, 보안 취약점 외에도 다양한 문제점이 있어 비판적인 의견을 제시함.
  • Well done, well written, great tact. Luckily we have HN to fill the gap on the missing kudos. What an unprofessional firm (chattr)

    • 기사 작성에 대한 긍정적인 평가
      • 기사가 잘 작성되었고, 훌륭한 접근 방식을 보여주었다고 평가하며, chattr에 대한 비전문적인 태도를 지적함.
  • Article gets to the point very quickly, nice.

    • 기사의 직설적인 스타일에 대한 긍정적인 평가
      • 기사가 빠르게 핵심을 전달한다고 칭찬함.