Forscher entdeckt Fehler auf der a16z-Website, durch den einige Unternehmensdaten offengelegt wurden

 (kibty.town)
1 Punkte von GN⁺ 2024-07-21 | 1 Kommentare | Auf WhatsApp teilen

Hintergrund

  • Ich suche gern auf Twitter nach Unternehmen und probiere schnelle Pentests aus
  • Nutze häufig den Tab „Relevant People“ und bin so auf a16z gestoßen

Hack

  • Bei der Untersuchung von a16z wurden Subdomain-Scans und Tools verwendet, um die Domain zu prüfen
  • Auf einer Website namens portfolio.a16z.com wurde ein AWS-Schlüssel entdeckt
  • In einer JavaScript-Datei wurde festgestellt, dass der vollständige Inhalt von process.env dynamisch eingebunden war
  • Diese Zugangsdaten sahen nach echten Zugangsdaten aus

Auswirkungen

  • Liste der kompromittierten Dienste:
    • Datenbank (einschließlich PII)
    • AWS
    • Salesforce (möglicherweise mit Kontobeschränkungen)
    • Mailgun (beliebige E-Mails senden und frühere E-Mails lesen möglich)
    • mehrere weitere Dienste

Belohnung

  • a16z gewährte keine Bug Bounty, weil öffentlich Kontakt aufgenommen wurde
  • Die Hauptgründe waren:
    • Auf der Hauptwebsite gab es keine Kontaktmöglichkeit
    • Die auffindbare E-Mail engineering@a16z.com kam als unzustellbar zurück
  • Das wird als unfair angesehen

Verwandter Artikel

  • TechCrunch-Artikel: Link

Zusammenfassung von GN⁺

  • Dieser Artikel unterstreicht die Bedeutung von Pentests und dem Auffinden von Sicherheitslücken
  • Er zeigt, dass selbst bei großen Unternehmen wie a16z Sicherheitslücken vorhanden sein können
  • Diskutiert werden die Grenzen öffentlicher Kontaktaufnahme und die Bedeutung von Bug-Bounty-Programmen
  • Projekte mit ähnlicher Funktion sind unter anderem HackerOne und Bugcrowd

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-21
Hacker-News-Kommentare

  • Eva hat Open-Source-Projekte gründlich pentestet und professionell offengelegt

    • Eva ist eine hervorragende Hackerin und handelt verantwortungsvoll
    • a16z hätte Eva besser behandeln sollen

  • Ich habe einmal einen ähnlichen Fehler gemacht

    • Ich habe apostrophecms zur Verwaltung von API-Schlüsseln verwendet
    • Ich habe entdeckt, dass API-Schlüssel im HTML-Quellcode ausgegeben wurden
    • Ich habe ein großes Beratungsunternehmen mit einem Pentest beauftragt, aber auch dort wurde das nicht gefunden
    • Am Ende habe ich es selbst entdeckt und die Logs geprüft, aber es wurde nicht ausgenutzt

  • Wenn man einen neuen Service erstellt und ein LetsEncrypt-Zertifikat hinzufügt, taucht in den Logs viel Müll auf

    • Dass die Schwachstelle bei a16z nicht entdeckt wurde, war entweder Glück, oder sie wurde nicht ausgenutzt
    • a16z sollte rechtlich sanktioniert werden, aber dafür gibt es derzeit keinen rechtlichen Rahmen

  • a16z hat keine Bug Bounty angeboten, weil die Kontaktaufnahme öffentlich erfolgte

    • Eine Meinung dazu ist, dass Unternehmen keine Möglichkeit für eine private Kontaktaufnahme anbieten, um Kosten zu sparen

  • Wenn Unternehmen sagen, sie seien "gehackt worden", bedeutet das, dass sie es nicht geschafft haben, wichtige Zugangsdaten sicher zu schützen

  • Für eine weitreichende Schwachstelle nicht einmal eine minimale Belohnung anzubieten, ist unangemessen

  • a16z ist damit beschäftigt, ein Whitepaper über die "Architektur generativer KI" zu schreiben

    • Während die Welt durch Probleme mit Software-Updates durcheinandergerät, träumt man dort von einer zukünftigen Welt der Agenten

  • Wenn Zugriff auf die Salesforce-Instanz möglich gewesen wäre, wäre das für Gründer eine sehr beunruhigende Situation gewesen

    • Salesforce protokolliert E-Mails, und darin könnten Finanzierungspläne oder M&A-Pläne enthalten sein, die nicht extern geteilt wurden

  • Dass eine VC-Firma für eine so große Schwachstelle keine Bug Bounty anbietet, schafft kein Vertrauen

  • Ernst gemeinte Frage, wie man mit den technischen Fähigkeiten, komplexe Web-Apps zu bauen, einen solchen Fehler machen kann

    • Die meisten Frontend- und Full-Stack-Frameworks versuchen, genau solche Fehler zu verhindern