安全研究人員警告說，數百家網站錯誤配置了Google Firebase，洩漏了超過1.25 億筆使用者記錄，其中包括明文密碼。三位使用mrbruh、xyzeva 和logykk 等網路暱稱的安全研究人員解釋說，這一切都源於對Chattr 的駭客攻擊，Chattr 是一個人工智慧招募系統，為美國多家機構提供服務，其中包括Applebee’s、Chick -fil-A、KFC、Subway、Taco Bell 和Wendy’s 等速食連鎖店。

Chattr 的Firebase實作中存在一個弱點，使得研究人員可以透過註冊新使用者來獲得資料庫的全部權限。他們可以存取姓名、電話號碼、電子郵件地址、某些帳戶的明文密碼、機密資訊等。受影響的個人包括員工、特許經營經理和求職者。

透過建立一個新的管理帳戶，研究人員可以存取管理儀表板，該儀表板提供了更多的系統存取權限，包括退款選項。此外還發現了額外的”幽靈”模式，可以存取帳單資訊，完全控制使用者帳戶，還可以選擇僱人。

Chattr 於1 月10 日，即研究人員報告一天後解決了這個問題。

接下來，研究人員開始識別透過配置錯誤的Firebase 實例暴露敏感資訊的其他網路應用程序，並發現有900 個網站暴露了1.25 億用戶的資訊。已確認的資料庫包含8,000 多萬個姓名、1 億多個電子郵件地址、3,300 多萬個電話號碼和2,000 多萬個密碼，以及2,700 多萬個帳單資訊條目。

不過，據研究人員稱，曝光的記錄總數可能要高得多。受影響的網站包括：暴露了2700 萬用戶資料的學習管理系統Silid LMS、暴露了2200 萬用戶詳細資訊的冷電話產生器Lead Carrot、暴露了1400 萬個姓名和1300 萬個電子郵件的餐廳業務管理和PoS 應用程式MyChefTool，以及暴露了約800 萬個銀行帳戶詳細資訊的由九個網站組成的線上賭博網路。

研究人員說，他們已經嘗試與842 個網站聯繫，但只有85% 的電子郵件能夠通過。四分之一的網站解決了配置錯誤問題，1%的網站回覆了電子郵件。不過，只有兩個網站的擁有者提供了漏洞懸賞。