研究者、a16zウェブサイトの欠陥発見で一部企業データが露出

 (kibty.town)
1 ポイント 投稿者 GN⁺ 2024-07-21 | 1件のコメント | WhatsAppで共有

背景

  • Twitterを検索して企業を見つけ、素早くペンテストを試すのが好き
  • 「Relevant People」タブをよく使っており、a16zにたどり着いた

ハッキング

  • a16zを調査しながら、サブドメインスキャンや各種ツールを使ってドメインを検査した
  • portfolio.a16z.com というサイトでAWSキーを発見した
  • JavaScriptファイルに process.env の内容全体が動的に含まれていることを確認した
  • これらの認証情報は実際に有効な資格情報に見えた

影響

  • 侵害されたサービスの一覧:
    • データベース(PIIを含む)
    • AWS
    • Salesforce(アカウントの制限がかかっている可能性あり)
    • Mailgun(任意のメール送信および過去メールの閲覧が可能)
    • その他多数のサービス

報酬

  • a16zは、公に連絡したことを理由にバグバウンティを提供しなかった
  • 主な理由:
    • メインサイトに連絡先がなかった
    • 見つけられたメールアドレス engineering@a16z.com はバウンスした
  • これは不公平だと考えている

関連記事

GN⁺のまとめ

  • この記事は、ペンテストとセキュリティ脆弱性発見の重要性を強調している
  • a16zのような大企業にもセキュリティ脆弱性が存在しうることを示している
  • 公開的に連絡する方法の限界と、バグバウンティプログラムの重要性を論じている
  • 類似の機能を持つプロジェクトとしては、HackerOneやBugcrowdがある

関連記事

1件のコメント

 
GN⁺ 2024-07-21
Hacker Newsのコメント

  • Evaはオープンソースプロジェクトを徹底的にペンテストし、専門的に公開した

    • Evaは優れたハッカーであり、責任感のあるハッカーでもある
    • a16zはEvaをもっと適切に扱うべきだ

  • 似たようなミスをした経験がある

    • apostrophecmsを使ってAPIキーを管理していた
    • HTMLソースコードにAPIキーが出力される問題を発見した
    • 大手コンサルティング会社にペンテストを依頼したが、彼らも見つけられなかった
    • 結局自分で発見してログを確認したが、悪用はされていなかった

  • 新しいサービスを作ってLetsEncrypt証明書を追加すると、ログには大量のゴミデータが現れる

    • a16zの脆弱性が発見されなかったのは運が良かったか、あるいは悪用されなかった可能性がある
    • a16zは法的制裁を受けるべきだが、現状では法的枠組みがない

  • a16zは公開で連絡したことを理由にバグバウンティを提供しなかった

    • 企業がコスト削減のために私的に連絡する手段を用意していないという意見

  • 企業が「ハッキングされた」と言うのは、重要な認証情報を安全に保護できていなかったことを意味する

  • 広範な脆弱性に対して最低限の報酬すら提供しなかったのは不適切だ

  • a16zは「生成AIのアーキテクチャ」ホワイトペーパーを書くのに忙しい

    • 世界がソフトウェアアップデート問題で混乱している間、未来のエージェント世界を夢見ている

  • Salesforceインスタンスにアクセスできていたなら、創業者たちにとって非常に不安な状況だったはずだ

    • Salesforceはメールを記録しており、そこには外部に共有されていない資金調達計画やM&A計画が含まれていた可能性がある

  • VC企業がこのような大きな脆弱性に対してバグバウンティを提供しなかったのは信頼につながらない

  • これほど複雑なWebアプリを作れる技術を持ちながら、どうしてこのようなミスをするのかという真剣な疑問

    • ほとんどのフロントエンドおよびフルスタックフレームワークは、この種のミスを防ごうとしている