Araştırmacı, a16z web sitesindeki bir kusuru bularak bazı şirket verilerini açığa çıkardı

 (kibty.town)
1 puan yazan GN⁺ 2024-07-21 | 1 yorum | WhatsApp'ta paylaş

Arka plan

  • Twitter'da arama yaparak şirketler bulmayı ve hızlı pentest denemeleri yapmayı seviyor
  • Sık sık "Relevant People" sekmesini kullanırken a16z'ye ulaşıyor

Hackleme

  • a16z'yi incelerken subdomain taraması ve araçlar kullanarak alan adını kontrol ediyor
  • portfolio.a16z.com adlı sitede AWS anahtarları buluyor
  • JavaScript dosyasında process.env içeriğinin tamamının dinamik olarak dahil edildiğini fark ediyor
  • Bu kimlik bilgileri gerçek kimlik bilgileri gibi görünüyor

Etki

  • Ele geçirilen hizmetlerin listesi:
    • Veritabanı (PII dahil)
    • AWS
    • Salesforce (hesap kısıtlaması ihtimali var)
    • Mailgun (rastgele e-posta gönderme ve önceki e-postaları okuma mümkün)
    • Çeşitli diğer hizmetler

Ödül

  • a16z, kamuya açık şekilde iletişime geçildiği gerekçesiyle bug bounty vermiyor
  • Başlıca nedenler:
    • Ana sitede iletişim bilgisi yoktu
    • Bulunabilen engineering@a16z.com e-posta adresi geri döndü
  • Bunun adil olmadığını düşünüyor

İlgili makale

GN⁺ özeti

  • Bu makale, pentest ve güvenlik açıklarını bulmanın önemini vurguluyor
  • a16z gibi büyük şirketlerde bile güvenlik açıkları bulunabileceğini gösteriyor
  • Kamuya açık iletişim yöntemlerinin sınırlarını ve bug bounty programlarının önemini tartışıyor
  • Benzer işlevlere sahip projeler arasında HackerOne ve Bugcrowd bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-21
Hacker News görüşleri

  • Eva, açık kaynak projeyi kapsamlı şekilde pentest etti ve bunu profesyonelce açıkladı

    • Eva yetenekli bir hacker ve sorumluluk sahibi bir hacker
    • a16z, Eva'ya daha iyi davranmalı

  • Benzer bir hatayı yapma deneyimi yaşayan biri var

    • API anahtarlarını yönetmek için apostrophecms kullanmış
    • API anahtarının HTML kaynak kodunda çıktığını fark etmiş
    • Büyük bir danışmanlık şirketine pentest yaptırmışlar ama onlar da bunu bulamamış
    • Sonunda kendisi bulup logları kontrol etmiş ve istismar edilmediğini görmüş

  • Yeni bir servis oluşturup LetsEncrypt sertifikası eklediğinizde loglarda çok fazla çöp veri görünüyor

    • a16z'deki açığın fark edilmemesi ya şanstı ya da istismar edilmemiş olabilir
    • a16z yasal yaptırımla karşılaşmalı ama şu anda bunun için bir hukuki çerçeve yok

  • a16z, kamuya açık şekilde iletişime geçildiği için bug bounty vermedi

    • Şirketlerin maliyeti kısmak için özel iletişim yöntemi sunmadığı görüşü var

  • Şirketlerin "hacklendik" demesi, önemli kimlik bilgilerini güvenli biçimde koruyamadıkları anlamına geliyor

  • Bu kadar yaygın bir zafiyet için en azından asgari bir ödül bile verilmemesi uygunsuz

  • a16z, "üretken yapay zekanın mimarisi" başlıklı whitepaper'ı yazmakla meşgul

    • Dünya yazılım güncelleme sorunlarıyla karmaşaya sürüklenirken, geleceğin ajan dünyasının hayalini kuruyorlar

  • Eğer Salesforce instance'ına erişilebilseydi bu, girişimciler için çok tedirgin edici bir durum olurdu

    • Salesforce e-postaları kaydeder; bu da dışarıyla paylaşılmamış fon toplama planları veya M&A planlarını içerebilir

  • Bir VC şirketinin bu kadar büyük bir zafiyet için bug bounty vermemesi güven vermiyor

  • Bu kadar karmaşık web uygulamaları geliştirebilecek teknik kapasiteye sahipken böyle bir hatanın nasıl yapılabildiğine dair ciddi bir soru var

    • Çoğu frontend ve full-stack framework bu tür hataları önlemeye çalışır