▲GN⁺ 2024-07-21 | parent | ★ favorite | on: 연구원, a16z 웹사이트의 결함 발견으로 일부 회사 데이터 노출(kibty.town)Hacker News 의견 Eva는 오픈 소스 프로젝트를 철저히 펜테스트하고 전문적으로 공개했음 Eva는 뛰어난 해커이며 책임감 있는 해커임 a16z는 Eva를 더 잘 대우해야 함 비슷한 실수를 한 경험이 있음 apostrophecms를 사용하여 API 키를 관리했음 HTML 소스 코드에 API 키가 출력되는 문제를 발견했음 큰 컨설팅 회사에 펜테스트를 의뢰했지만 그들도 발견하지 못했음 결국 직접 발견하고 로그를 확인했지만 악용되지 않았음 새로운 서비스를 만들고 LetsEncrypt 인증서를 추가하면 로그에 많은 쓰레기 데이터가 나타남 a16z의 취약점이 발견되지 않은 것은 운이 좋았거나 악용되지 않았을 가능성이 있음 a16z는 법적 제재를 받아야 하지만 현재 법적 틀이 없음 a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않았음 회사가 비용을 절감하기 위해 사적으로 연락할 방법을 제공하지 않는다는 의견 회사들이 "해킹당했다"고 말하는 것은 중요한 자격 증명을 안전하게 보호하지 못한 것을 의미함 광범위한 취약점에 대해 최소한의 보상도 제공하지 않은 것은 부적절함 a16z는 "생성적 AI의 아키텍처" 백서를 작성하느라 바쁨 세상이 소프트웨어 업데이트 문제로 혼란스러운 동안 미래의 에이전트 세계를 꿈꾸고 있음 Salesforce 인스턴스에 접근할 수 있었다면 창업자들에게 매우 불안한 상황이었을 것임 Salesforce는 이메일을 기록하며, 이는 외부에 공유되지 않은 자금 조달 계획이나 M&A 계획을 포함할 수 있음 VC 회사가 이런 큰 취약점에 대해 버그 바운티를 제공하지 않은 것은 신뢰를 주지 않음 복잡한 웹 앱을 만들 수 있는 기술을 가지고 이런 실수를 어떻게 할 수 있는지에 대한 진지한 질문 대부분의 프론트엔드 및 풀스택 프레임워크는 이런 실수를 방지하려고 노력함
Hacker News 의견
Eva는 오픈 소스 프로젝트를 철저히 펜테스트하고 전문적으로 공개했음
비슷한 실수를 한 경험이 있음
새로운 서비스를 만들고 LetsEncrypt 인증서를 추가하면 로그에 많은 쓰레기 데이터가 나타남
a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않았음
회사들이 "해킹당했다"고 말하는 것은 중요한 자격 증명을 안전하게 보호하지 못한 것을 의미함
광범위한 취약점에 대해 최소한의 보상도 제공하지 않은 것은 부적절함
a16z는 "생성적 AI의 아키텍처" 백서를 작성하느라 바쁨
Salesforce 인스턴스에 접근할 수 있었다면 창업자들에게 매우 불안한 상황이었을 것임
VC 회사가 이런 큰 취약점에 대해 버그 바운티를 제공하지 않은 것은 신뢰를 주지 않음
복잡한 웹 앱을 만들 수 있는 기술을 가지고 이런 실수를 어떻게 할 수 있는지에 대한 진지한 질문