mr-pickles Jan 22 2024 at 12:15

Как я за один заход хакнул половину американских сетей фастфуда

3 min

34K

Wunder Fund corporate blogInformation Security*

Translation

+21

Comments 16

lexore Jan 22 2024 at 14:10

Вы забыли указать, что это перевод чужой статьи. И забыли дать ссылку на оригинал.

radtie Jan 22 2024 at 15:50

А вы забыли взять "забыли" в кавычки ;)

ajijiadduh Jan 22 2024 at 16:20

вот так делается: @moderator

Boomburum Jan 22 2024 at 16:59

Спасибо, я поправил :)

Aquahawk Jan 22 2024 at 16:25

как одним постом сформировать к себе отношение

freeExec Jan 22 2024 at 15:52

Что-то вся соль раскрыта как-то сумбурно:

у вас нет прав
но вы можете создать нового пользователя. чё?
создать нового пользователя не получится
созданный пользователь получит привилегии.

AndreyAf Jan 22 2024 at 16:32

статья не про хакера, статья про переводчика который прикидывается хакером!

iamkisly Jan 23 2024 at 01:16

У нас был сервер с базой, доступ на запись никому не давали, только readonly role. Потом выяснилось, что кто-то расширил права этой роли почти до dba.. только объекты в дереве скрыты

RationalBot Jan 24 2024 at 02:43

Там не написано, что нельзя создать нового пользователя, написано, что нельзя зарегистрировать его через сайт (firebase?). В оригинале статьи так же написано, т.ч. это не кривой перевод.

Могу предположить, что уязвимость была как раз в реализации мультитенанси. И с учётной для одной компании можно было получить доступ к чужим данным. И очень может быть, что учётку можно получить через покупку сервиса у Chattr.ai

izogfif Jan 22 2024 at 16:47

Кто-нибудь знающий, поясните, зачем на frontend'е вообще нужны ключи к базе? Разве frontend не должен связываться с backend'ом, чтобы уже тот, проверив все права доступа, связался с базой данных? Просто статья выглядит как "разработчики ошиблись и положили private key от TLS-сертификата, которым nginx или Apache пользуется для установления HTTPS-подключения, в папку со скриптами и прочим CSS".

Tsimur_S Jan 22 2024 at 17:24

Кто-нибудь знающий, поясните, зачем на frontend'е вообще нужны ключи к базе? Разве frontend не должен связываться с backend'ом, чтобы уже тот, проверив все права доступа, связался с базой данных?

Полагаю что инновационный AI стартап буквально воспринял слово serverless .

Wesha Jan 22 2024 at 20:19

Полагаю что инновационный AI стартап буквально воспринял слово serverless .

Каков народ — таковы и ~~депутаты~~ AI!

shasoftX Jan 22 2024 at 17:40

И не просто положили в папку, но и аккуратно сделали ссылку на этот файл.

Spiritschaser Jan 22 2024 at 19:31

В принципе, можно сделать нормальный serverless с "бэкэндом" в firebase, особенно, если это порт приложения на web. Но осторожно. В сабже это сделали неосторожно.

lexore Jan 22 2024 at 20:03

А зачем ходить через бекенд, когда можно напрямую? :-) Firebase - это тоже, кхм, бекенд.

Spiritschaser Jan 22 2024 at 19:28

Если взять из JS-бандла данные для подключения к Firebase
созданию нового пользователя ... получить полные привилегии (чтение/запись)

Нормально у них там права настроены!