Arc ma funkcję o nazwie Boosts, która umożliwia dostosowanie dowolnej witryny dzięki niestandardowego CSS i Javascript. Ponieważ uruchamianie dowolnego Javascript na witrynach internetowych może stwarzać potencjalne problemy z bezpieczeństwem, zdecydowaliśmy się nie udostępniać Boosts z niestandardowym Javascriptem członkom, ale przez cały czas synchronizowaliśmy je z naszym serwerem, aby Twoje własne Boosts były dostępne na różnych urządzeniach.
Używamy Firebase jako zaplecza dla niektórych funkcji Arc (więcej na ten temat poniżej) i używamy go do utrwalania Boostów zarówno do udostępniania, jak i synchronizowania między urządzeniami. Niestety nasze Firebase ACL (listy kontroli dostępu, sposób, w jaki Firebase zabezpiecza punkty końcowe) były nieprawidłowo skonfigurowane, co pozwoliło użytkownikom Firebase na żądanie zmiany creatorID Boosta po jego utworzeniu. Pozwoliło to na przypisanie dowolnego Boosta do dowolnego użytkownika (pod warunkiem, iż miałeś jego userID), a tym samym na jego aktywację, co doprowadziło do uruchomienia niestandardowego CSS lub JS na stronie internetowej, na której Boost był aktywny.
