Pesquisador encontra falha no site da a16z que expôs alguns dados da empresa

 (kibty.town)
1 pontos por GN⁺ 2024-07-21 | 1 comentários | Compartilhar no WhatsApp

Contexto

  • Gosta de procurar empresas no Twitter e tentar fazer um pentest rápido
  • Usa com frequência a aba "Relevant People" e chegou à a16z

Invasão

  • Ao investigar a a16z, fez varredura de subdomínios e usou ferramentas para inspecionar o domínio
  • Encontrou chaves da AWS em um site chamado portfolio.a16z.com
  • Confirmou que todo o conteúdo de process.env estava sendo incluído dinamicamente em um arquivo JavaScript
  • Essas credenciais pareciam ser credenciais reais

Impacto

  • Lista de serviços comprometidos:
    • Banco de dados (incluindo PII)
    • AWS
    • Salesforce (com possível limitação da conta)
    • Mailgun (permitia enviar e-mails arbitrários e ler e-mails anteriores)
    • Vários outros serviços

Recompensa

  • A a16z não ofereceu bug bounty por ele ter feito contato publicamente
  • Os principais motivos foram:
    • Não havia contato no site principal
    • O e-mail que conseguiu encontrar, engineering@a16z.com, retornava erro
  • Ele considera isso injusto

Artigo relacionado

  • Artigo da TechCrunch: link

Resumo do GN⁺

  • Este artigo destaca a importância de pentests e da descoberta de vulnerabilidades de segurança
  • Mostra que até grandes empresas como a a16z podem ter vulnerabilidades de segurança
  • Discute os limites do contato público e a importância de programas de bug bounty
  • Projetos com funcionalidades semelhantes incluem HackerOne e Bugcrowd

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-21
Comentários no Hacker News

  • Eva fez um pentest minucioso no projeto de código aberto e divulgou o problema de forma profissional

    • Eva é uma hacker excelente e responsável
    • a16z deveria ter tratado Eva melhor

  • Já tive experiência com um erro parecido

    • Usava apostrophecms para gerenciar chaves de API
    • Descobri um problema em que a chave de API era exibida no código-fonte HTML
    • Contratei uma grande empresa de consultoria para fazer um pentest, mas eles também não encontraram isso
    • No fim, eu mesmo descobri e verifiquei os logs, mas não houve exploração

  • Quando você cria um novo serviço e adiciona um certificado do LetsEncrypt, aparece muito dado inútil nos logs

    • É possível que a vulnerabilidade da a16z não tenha sido descoberta por sorte, ou que não tenha sido explorada
    • a16z deveria sofrer sanções legais, mas atualmente não existe uma estrutura jurídica para isso

  • a16z não ofereceu bug bounty porque o contato foi feito publicamente

    • Há a opinião de que a empresa não oferece um meio de contato privado para economizar custos

  • Quando empresas dizem que "foram hackeadas", isso significa que não conseguiram proteger com segurança credenciais importantes

  • Foi inadequado não oferecer nem mesmo uma recompensa mínima por uma vulnerabilidade tão ampla

  • a16z está ocupada escrevendo o white paper "A arquitetura da IA generativa"

    • Enquanto o mundo está em caos por problemas de atualização de software, eles estão sonhando com um futuro mundo de agentes

  • Se fosse possível acessar a instância do Salesforce, isso teria sido uma situação extremamente preocupante para os fundadores

    • O Salesforce registra e-mails, e isso pode incluir planos de captação ou de M&A que não foram compartilhados externamente

  • Não inspira confiança que uma firma de VC não tenha oferecido bug bounty para uma vulnerabilidade tão grande

  • Uma pergunta séria sobre como alguém pode cometer esse tipo de erro tendo a capacidade técnica para criar aplicações web complexas

    • A maioria dos frameworks de frontend e full stack tenta evitar esse tipo de erro