Investigador encuentra una falla en el sitio web de a16z que expuso algunos datos de la empresa

 (kibty.town)
1 puntos por GN⁺ 2024-07-21 | 1 comentarios | Compartir por WhatsApp

Contexto

  • Le gusta buscar empresas en Twitter e intentar pentests rápidos
  • Usa con frecuencia la pestaña "Relevant People" y así llegó a a16z

Hackeo

  • Mientras investigaba a a16z, escaneó subdominios e inspeccionó el dominio con herramientas
  • Encontró claves de AWS en un sitio llamado portfolio.a16z.com
  • Confirmó que el contenido completo de process.env estaba incluido dinámicamente en un archivo JavaScript
  • Estas credenciales parecían ser credenciales reales

Impacto

  • Lista de servicios comprometidos:
    • Base de datos (incluye PII)
    • AWS
    • Salesforce (posible acceso limitado a cuentas)
    • Mailgun (permitía enviar correos arbitrarios y leer correos anteriores)
    • Varios otros servicios

Recompensa

  • a16z no ofreció una recompensa por errores porque el contacto se hizo públicamente
  • Las razones principales fueron:
    • No había información de contacto en el sitio principal
    • El correo que pudo encontrar, engineering@a16z.com, rebotó
  • Considera que esto fue injusto

Artículo relacionado

  • Artículo de TechCrunch: enlace

Resumen de GN⁺

  • Este artículo destaca la importancia de los pentests y del descubrimiento de vulnerabilidades de seguridad
  • Muestra que incluso grandes empresas como a16z pueden tener vulnerabilidades de seguridad
  • Analiza las limitaciones de los métodos de contacto públicos y la importancia de los programas de bug bounty
  • Proyectos con funciones similares incluyen HackerOne y Bugcrowd

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-21
Opiniones en Hacker News

  • Eva hizo un pentest exhaustivo al proyecto de código abierto y lo divulgó de forma profesional

    • Eva es una hacker excelente y responsable
    • a16z debería haber tratado mejor a Eva

  • Alguien comentó que tuvo una experiencia con un error similar

    • Usaba apostrophecms para administrar claves de API
    • Descubrió un problema en el que la clave de API aparecía en el código fuente HTML
    • Contrató a una gran consultora para hacer un pentest, pero ellos tampoco lo encontraron
    • Al final lo descubrió por su cuenta y revisó los logs, pero no hubo explotación

  • Cuando creas un servicio nuevo y agregas un certificado de LetsEncrypt, aparece mucha basura en los logs

    • Puede que haya sido suerte que la vulnerabilidad de a16z no se detectara, o que no se explotara
    • a16z debería enfrentar sanciones legales, pero actualmente no existe un marco legal para eso

  • a16z no ofreció una recompensa por errores porque el contacto se hizo públicamente

    • También se opinó que las empresas no ofrecen una forma de contacto privado para ahorrar costos

  • Cuando las empresas dicen que "fueron hackeadas", eso significa que no protegieron adecuadamente credenciales importantes

  • Fue inapropiado no ofrecer ni siquiera una compensación mínima por una vulnerabilidad tan amplia

  • a16z estaba ocupada escribiendo el whitepaper sobre la "arquitectura de la IA generativa"

    • Mientras el mundo está en caos por problemas de actualizaciones de software, ellos sueñan con el futuro mundo de agentes

  • Si alguien hubiera podido acceder a una instancia de Salesforce, habría sido una situación muy inquietante para los fundadores

    • Salesforce registra correos electrónicos, y eso podría incluir planes de financiamiento o de M&A que no se compartieron externamente

  • Que una firma de VC no ofrezca una recompensa por errores ante una vulnerabilidad tan grande no genera confianza

  • Se planteó seriamente cómo alguien con la capacidad técnica para crear una web app compleja puede cometer este tipo de errores

    • La mayoría de los frameworks frontend y full-stack intentan evitar este tipo de fallas