นักวิจัยพบช่องโหว่บนเว็บไซต์ a16z ทำให้ข้อมูลบางส่วนของบริษัทถูกเปิดเผย

 (kibty.town)
1 คะแนน โดย GN⁺ 2024-07-21 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

เบื้องหลัง

  • ชอบค้นหาบริษัทผ่านการค้นหาในทวิตเตอร์และลองทำเพนเทสต์อย่างรวดเร็ว
  • มักใช้แท็บ "Relevant People" จนไปเจอ a16z

การแฮ็ก

  • ระหว่างตรวจสอบ a16z ได้สแกนซับโดเมนและใช้เครื่องมือตรวจสอบโดเมน
  • พบ AWS key บนเว็บไซต์ชื่อ portfolio.a16z.com
  • ยืนยันว่าในไฟล์ JavaScript มีการฝังเนื้อหาทั้งหมดของ process.env แบบไดนามิก
  • ข้อมูลรับรองเหล่านี้ดูเหมือนเป็นข้อมูลรับรองจริง

ผลกระทบ

  • รายการบริการที่ได้รับผลกระทบ:
    • ฐานข้อมูล (รวม PII)
    • AWS
    • Salesforce (อาจมีข้อจำกัดด้านบัญชี)
    • Mailgun (สามารถส่งอีเมลตามอำเภอใจและอ่านอีเมลก่อนหน้าได้)
    • และบริการอื่น ๆ อีกหลายรายการ

ค่าตอบแทน

  • a16z ไม่มอบบั๊กบาวน์ตี เนื่องจากมีการติดต่อแบบสาธารณะ
  • เหตุผลหลักคือ:
    • บนเว็บไซต์หลักไม่มีข้อมูลติดต่อ
    • อีเมลที่หาเจอได้คือ engineering@a16z.com แต่ตีกลับ
  • ผู้เขียนมองว่านี่ไม่ยุติธรรม

บทความที่เกี่ยวข้อง

สรุปโดย GN⁺

  • บทความนี้เน้นย้ำความสำคัญของการทำเพนเทสต์และการค้นพบช่องโหว่ด้านความปลอดภัย
  • แสดงให้เห็นว่าแม้แต่บริษัทใหญ่อย่าง a16z ก็ยังอาจมีช่องโหว่ด้านความปลอดภัยได้
  • กล่าวถึงข้อจำกัดของการติดต่อแบบสาธารณะและความสำคัญของโปรแกรมบั๊กบาวน์ตี
  • โปรเจ็กต์ที่มีฟังก์ชันคล้ายกัน ได้แก่ HackerOne และ Bugcrowd

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-07-21
ความเห็นจาก Hacker News

  • Eva ทำการเพนเทสต์โปรเจกต์โอเพนซอร์สอย่างละเอียดและเปิดเผยอย่างเป็นมืออาชีพ

    • Eva เป็นแฮ็กเกอร์ที่เก่งมากและมีความรับผิดชอบ
    • a16z ควรปฏิบัติต่อ Eva ให้ดีกว่านี้

  • เคยมีประสบการณ์ทำพลาดคล้ายกัน

    • ใช้ apostrophecms จัดการคีย์ API
    • พบปัญหาที่คีย์ API ถูกแสดงออกมาในซอร์สโค้ด HTML
    • ว่าจ้างบริษัทที่ปรึกษาขนาดใหญ่ให้ทำเพนเทสต์ แต่พวกเขาก็หาไม่เจอเช่นกัน
    • สุดท้ายจึงพบเองและตรวจสอบล็อก แต่ไม่พบว่าถูกนำไปใช้โจมตี

  • เมื่อสร้างบริการใหม่และเพิ่มใบรับรอง LetsEncrypt จะมีข้อมูลขยะจำนวนมากปรากฏในล็อก

    • การที่ช่องโหว่ของ a16z ไม่ถูกพบอาจเป็นเพราะโชคดี หรืออาจเป็นไปได้ว่าไม่ถูกนำไปใช้โจมตี
    • a16z ควรถูกดำเนินมาตรการทางกฎหมาย แต่ตอนนี้ยังไม่มีกรอบกฎหมายรองรับ

  • a16z ไม่ได้ให้ bug bounty เพราะมีการติดต่อแบบเปิดเผยต่อสาธารณะ

    • มีความเห็นว่าบริษัทไม่ได้เปิดช่องทางให้ติดต่อแบบส่วนตัวเพื่อประหยัดค่าใช้จ่าย

  • การที่บริษัทพูดว่า "ถูกแฮ็ก" หมายความว่าพวกเขาไม่สามารถปกป้องข้อมูลรับรองสำคัญให้ปลอดภัยได้

  • การไม่มอบค่าตอบแทนแม้เพียงเล็กน้อยสำหรับช่องโหว่ในวงกว้างเช่นนี้เป็นเรื่องไม่เหมาะสม

  • a16z กำลังยุ่งอยู่กับการเขียนไวท์เปเปอร์เรื่อง "สถาปัตยกรรมของ generative AI"

    • ในขณะที่โลกกำลังวุ่นวายกับปัญหาซอฟต์แวร์อัปเดต พวกเขากลับฝันถึงโลกของเอเจนต์ในอนาคต

  • หากสามารถเข้าถึงอินสแตนซ์ Salesforce ได้ คงเป็นสถานการณ์ที่น่ากังวลมากสำหรับผู้ก่อตั้ง

    • Salesforce มีการบันทึกอีเมล ซึ่งอาจรวมถึงแผนการระดมทุนหรือแผน M&A ที่ยังไม่ได้เปิดเผยต่อภายนอก

  • การที่บริษัท VC ไม่ให้ bug bounty สำหรับช่องโหว่ใหญ่ขนาดนี้ไม่ช่วยสร้างความเชื่อมั่น

  • เป็นคำถามจริงจังว่าทำไมถึงทำพลาดแบบนี้ได้ ทั้งที่มีทักษะพอจะสร้างเว็บแอปที่ซับซ้อนได้

    • เฟรมเวิร์กฝั่งฟรอนต์เอนด์และฟูลสแต็กส่วนใหญ่พยายามป้องกันความผิดพลาดลักษณะนี้