Хакеры-исследователи обнаружили неприятную дыру в HR-чатботе Chattr.ai. Уязвимость позволяет получить доступ к информации компаний-пользователей этого сервиса и даже одобрять или отклонять соискателей, которые сохранены в базе чатбота.
Chattr позиционируется как “первое в мире автоматизированное решение для найма рабочей силы с почасовой оплатой, основанное на ИИ-помощнике” и помогает автоматизировать поиск сотрудников. Сервис популярен у ритейлеров и владельцев ресторанов быстрого питания — осматривая после взлома ставшие им доступными ресурсы, хакеры обнаружили среди клиентов владельцев точек Subway и KFC.
Взломщики наткнулись на уязвимость в Chattr в процессе поиска незащищенных логинов в Firebase — это облачный сервис баз данных от Google. В процессе сканирования они обнаружили, что в базе Firebase, используемой Chattr, можно создать новый аккаунт, обладающий правами как на чтение, так и на запись в базу данных любой информации. Так они смогли получить доступ к самым разным данным клиентов Chattr.ai — информации о самих компаниях, данных их сотрудников и соискателей, внутренней переписке в чатботе и так далее.
Но этим дело не ограничилось: далее хакеры обнаружили, что они также могут создавать аккаунты администратора в системе управления Chattr. И таким образом получают возможность одобрять или отклонять любых зарегистрированных в чатботе соискателей — и даже делать возврат средств, выплаченных сервису компаниями-клиентами.
Это напоминает историю с Nothing Chats — запущенным производителем смартфонов Nothing сервисом обмена сообщениями, который обещал дать пользователям Android доступ к Apple iMessage. Разработчики обещали тотальную приватность и безопасность. Однако из-за нескольких дыр — в том числе как раз из-за проблем с аутентификацией в базе данных Firebase — сервис позволял любому желающему читать переписку всех пользователей Nothing Chats в режиме реального времени.
