Как стать автором
Обновить
89.39
Wunder Fund
Мы занимаемся высокочастотной торговлей на бирже

Как я за один заход хакнул половину американских сетей фастфуда

Время на прочтение3 мин
Количество просмотров34K
Автор оригинала: Paul (MrBruh)

Консоль бодро оповестила меня о завершении работы скрипта. Его задача заключалась в поиске учётных данных для доступа к Firebase, которые лежали в открытом доступе и принадлежали одному из сотен недавно появившихся ИИ‑стартапов.

Скрипт шёл по общедоступному списку сайтов с использованием домена верхнего уровня .ai. Программа парсила данные сайтов (и любые.js‑бандлы, на которые находила ссылки) в поиске переменных, которые обычно используются для настройки подключения к Firebase.

Production: {
    apiKey: "AIza<Insert_Funny_Joke_Here>",
    authDomain: "KFC.firebaseapp.com",
    databaseURL: "https://KFC.firebaseio.com",
    projectId: "KFC",
    storageBucket: "KFC.appspot.com",
    messagingSenderId: "123456789"
}

Я исходил из предположения о том, что кто‑то, спеша вывести в свет свой новый сверкающий проект, «срежет путь» и забудет реализовать в нём адекватную систему безопасности.

Интуиция меня не подвела. Всё оказалось даже хуже, чем я мог себе представить.

Знакомьтесь: Chattr.ai

Это — проект, позиционирующий себя как ИИ‑система для найма сотрудников. Её авторы заявляют о том, что она способна сэкономить 88% времени, необходимого для того чтобы принять нового человека на работу.

Chattr.ai предоставляет услуги огромному количеству компаний из США, нанимающих сотрудников с почасовой оплатой, в частности — сетям фаст‑фуда. Вот некоторые из них:

  • Applebees

  • Arbys

  • Chickfila

  • Dunkin

  • IHOP

  • KFC

  • Shoneys

  • Subway

  • Tacobell

  • Target

  • Wendys

Уязвимость

Если взять из JS-бандла данные для подключения к Firebase и закинуть их в Firepwn, то, как видно из следующего скриншота, у нас не будет вообще никаких прав.

Но если прибегнуть к функции Firebase по созданию нового пользователя (на сайте сервиса зарегистрироваться не получится) — можно получить полные привилегии (чтение/запись) на доступ к БД Firebase.

Вот что удалось получить из базы данных:

  • Имена.

  • Телефонные номера.

  • Адреса электронной почты.

  • Незашифрованные пароли (их удалось обнаружить лишь в некоторых аккаунтах).

  • Расположение подразделений.

  • Конфиденциальная информация.

  • Сведения о рабочих сменах.

Эти данные относятся к следующим группам людей:

  • Персонал Chattr.

  • Менеджеры франчайзи.

  • Соискатели вакансий.

Дальше… хуже?!

Да, как‑то так получилось, что всё оказалось даже ещё хуже.

Если взять список администраторов из /orgs/0/users — в него можно запихнуть новую запись, что даёт полный доступ к административной панели управления.

Как видите — это открывает ещё больше возможностей по управлению системами компании. В том числе — позволяет принимать/отклонять соискателей, или даже возвращать платежи, полученные Chattr.

Хроника событий (День/Месяц)

  • 06/01 — Обнаружена уязвимость.

  • 09/01 — Завершена работа над отчётом. Отчёт отправлен компании.

  • 10/01 — Уязвимость пропатчена.

  • 11/01 — Запрос в службу поддержки закрыт. «Спасибо» мне не сказали и никак со мной не связались, несмотря на то, что я прямо предложил представителям компании пообщаться.

Благодарности

Хочу поблагодарить моих друзей Logykk и Eva, которые помогали мне проводить этот пентест и оформлять материалы для ответственного раскрытия информации по нему.

Спасибо за внимание!

О, а приходите к нам работать? 🤗 💰

Мы в wunderfund.io занимаемся высокочастотной алготорговлей с 2014 года. Высокочастотная торговля — это непрерывное соревнование лучших программистов и математиков всего мира. Присоединившись к нам, вы станете частью этой увлекательной схватки.

Мы предлагаем интересные и сложные задачи по анализу данных и low latency разработке для увлеченных исследователей и программистов. Гибкий график и никакой бюрократии, решения быстро принимаются и воплощаются в жизнь.

Сейчас мы ищем плюсовиков, питонистов, дата-инженеров и мл-рисерчеров.

Присоединяйтесь к нашей команде

Теги:
Хабы:
Всего голосов 42: ↑25 и ↓17+21
Комментарии16

Публикации

Информация

Сайт
wunderfund.io
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Россия
Представитель
xopxe

Истории