Nhà nghiên cứu phát hiện lỗ hổng trên website a16z làm lộ một phần dữ liệu công ty

 (kibty.town)
1 điểm bởi GN⁺ 2024-07-21 | 1 bình luận | Chia sẻ qua WhatsApp

Bối cảnh

  • Thích tìm công ty bằng cách tìm kiếm trên Twitter và thử pentest nhanh
  • Thường dùng tab "Relevant People" và từ đó đến được a16z

Khai thác

  • Trong quá trình điều tra a16z, đã dùng quét subdomain và các công cụ để kiểm tra domain
  • Phát hiện khóa AWS trên trang portfolio.a16z.com
  • Xác nhận rằng toàn bộ nội dung của process.env đã được chèn động vào file JavaScript
  • Các thông tin xác thực này trông giống như thông tin xác thực thật

Ảnh hưởng

  • Danh sách dịch vụ bị ảnh hưởng:
    • Cơ sở dữ liệu (bao gồm PII)
    • AWS
    • Salesforce (có thể bị giới hạn ở cấp tài khoản)
    • Mailgun (có thể gửi email tùy ý và đọc các email trước đó)
    • Nhiều dịch vụ khác

Thưởng

  • a16z không trao bug bounty vì đã liên hệ công khai
  • Các lý do chính là:
    • Không có thông tin liên hệ trên trang chính
    • Địa chỉ email có thể tìm thấy là engineering@a16z.com bị trả lại
  • Điều này được cho là không công bằng

Bài viết liên quan

Tóm tắt của GN⁺

  • Bài viết này nhấn mạnh tầm quan trọng của pentest và việc phát hiện lỗ hổng bảo mật
  • Cho thấy ngay cả các công ty lớn như a16z cũng có thể tồn tại lỗ hổng bảo mật
  • Thảo luận về giới hạn của cách liên hệ công khai và tầm quan trọng của chương trình bug bounty
  • Các dự án có chức năng tương tự gồm HackerOne và Bugcrowd

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-21
Ý kiến trên Hacker News

  • Eva đã pentest rất kỹ dự án mã nguồn mở và công bố một cách chuyên nghiệp

    • Eva là một hacker giỏi và có trách nhiệm
    • a16z nên đối xử với Eva tốt hơn

  • Có người từng mắc lỗi tương tự

    • Đã dùng apostrophecms để quản lý API key
    • Phát hiện vấn đề API key bị in ra trong mã nguồn HTML
    • Đã thuê một công ty tư vấn lớn thực hiện pentest nhưng họ cũng không phát hiện ra
    • Cuối cùng tự phát hiện và kiểm tra log, nhưng không thấy bị khai thác

  • Khi tạo dịch vụ mới và thêm chứng chỉ LetsEncrypt, trong log sẽ xuất hiện rất nhiều dữ liệu rác

    • Việc lỗ hổng của a16z không bị phát hiện có thể là do may mắn hoặc do chưa bị khai thác
    • a16z nên chịu chế tài pháp lý, nhưng hiện chưa có khung pháp lý phù hợp

  • a16z đã không đưa ra bug bounty vì người phát hiện liên hệ công khai

    • Có ý kiến cho rằng công ty không cung cấp cách liên hệ riêng tư để tiết kiệm chi phí

  • Khi các công ty nói rằng họ "bị hack", điều đó có nghĩa là họ đã không bảo vệ an toàn các thông tin xác thực quan trọng

  • Việc không đưa ra dù chỉ là khoản bồi thường tối thiểu cho một lỗ hổng nghiêm trọng trên diện rộng là không phù hợp

  • a16z đang bận viết sách trắng về "kiến trúc của AI tạo sinh"

    • Trong lúc thế giới hỗn loạn vì các vấn đề cập nhật phần mềm, họ lại mơ về một thế giới tương lai đầy agent

  • Nếu có thể truy cập vào instance Salesforce, đó hẳn là tình huống rất đáng lo đối với các nhà sáng lập

    • Salesforce ghi lại email, và điều đó có thể bao gồm các kế hoạch gọi vốn hoặc M&A chưa được chia sẻ ra bên ngoài

  • Việc một công ty VC không đưa ra bug bounty cho một lỗ hổng lớn như vậy không tạo được sự tin cậy

  • Một câu hỏi nghiêm túc là làm sao có thể mắc lỗi như vậy dù có đủ kỹ năng để xây dựng ứng dụng web phức tạp

    • Hầu hết các framework frontend và full-stack đều cố gắng ngăn chặn những sai sót kiểu này