# 연구원, a16z 웹사이트의 결함 발견으로 일부 회사 데이터 노출

> Clean Markdown view of GeekNews topic #15935. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15935](https://news.hada.io/topic?id=15935)
- GeekNews Markdown: [https://news.hada.io/topic/15935.md](https://news.hada.io/topic/15935.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-07-21T09:36:40+09:00
- Updated: 2024-07-21T09:36:40+09:00
- Original source: [kibty.town](https://www.kibty.town/blog/a16z/)
- Points: 1
- Comments: 1

## Topic Body

##### 배경
- 트위터를 검색하여 회사를 찾고 빠른 펜테스트를 시도하는 것을 좋아함
- "Relevant People" 탭을 자주 사용하여 a16z에 도달함

##### 해킹
- a16z를 조사하면서 서브도메인 스캔과 도구를 사용하여 도메인을 검사함
- `portfolio.a16z.com`이라는 사이트에서 AWS 키를 발견함
- JavaScript 파일에서 `process.env`의 전체 내용이 동적으로 포함된 것을 확인함
- 이 자격 증명은 실제 자격 증명으로 보였음

##### 영향
- 손상된 서비스 목록:
  - 데이터베이스 (PII 포함)
  - AWS
  - Salesforce (계정 제한 가능성 있음)
  - Mailgun (임의 이메일 전송 및 이전 이메일 읽기 가능)
  - 기타 여러 서비스

##### 보상
- a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않음
- 주된 이유는:
  - 메인 사이트에 연락처가 없었음
  - 찾을 수 있는 이메일 `engineering@a16z.com`이 반송됨
- 이는 불공평하다고 생각함

##### 관련 기사
- TechCrunch 기사: [링크](https://techcrunch.com/2024/07/18/researcher-finds-flaw-in-a16z-website-that-exposed-some-company-data/)

##### GN⁺의 정리
- 이 기사는 펜테스트와 보안 취약점 발견의 중요성을 강조함
- a16z와 같은 큰 회사에서도 보안 취약점이 존재할 수 있음을 보여줌
- 공개적으로 연락하는 방법의 한계와 버그 바운티 프로그램의 중요성을 논의함
- 비슷한 기능을 가진 프로젝트로는 HackerOne과 Bugcrowd가 있음

## Comments



### Comment 27428

- Author: neo
- Created: 2024-07-21T09:36:41+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41016768) 
- Eva는 오픈 소스 프로젝트를 철저히 펜테스트하고 전문적으로 공개했음
  - Eva는 뛰어난 해커이며 책임감 있는 해커임
  - a16z는 Eva를 더 잘 대우해야 함

- 비슷한 실수를 한 경험이 있음
  - apostrophecms를 사용하여 API 키를 관리했음
  - HTML 소스 코드에 API 키가 출력되는 문제를 발견했음
  - 큰 컨설팅 회사에 펜테스트를 의뢰했지만 그들도 발견하지 못했음
  - 결국 직접 발견하고 로그를 확인했지만 악용되지 않았음

- 새로운 서비스를 만들고 LetsEncrypt 인증서를 추가하면 로그에 많은 쓰레기 데이터가 나타남
  - a16z의 취약점이 발견되지 않은 것은 운이 좋았거나 악용되지 않았을 가능성이 있음
  - a16z는 법적 제재를 받아야 하지만 현재 법적 틀이 없음

- a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않았음
  - 회사가 비용을 절감하기 위해 사적으로 연락할 방법을 제공하지 않는다는 의견

- 회사들이 "해킹당했다"고 말하는 것은 중요한 자격 증명을 안전하게 보호하지 못한 것을 의미함

- 광범위한 취약점에 대해 최소한의 보상도 제공하지 않은 것은 부적절함

- a16z는 "생성적 AI의 아키텍처" 백서를 작성하느라 바쁨
  - 세상이 소프트웨어 업데이트 문제로 혼란스러운 동안 미래의 에이전트 세계를 꿈꾸고 있음

- Salesforce 인스턴스에 접근할 수 있었다면 창업자들에게 매우 불안한 상황이었을 것임
  - Salesforce는 이메일을 기록하며, 이는 외부에 공유되지 않은 자금 조달 계획이나 M&A 계획을 포함할 수 있음

- VC 회사가 이런 큰 취약점에 대해 버그 바운티를 제공하지 않은 것은 신뢰를 주지 않음

- 복잡한 웹 앱을 만들 수 있는 기술을 가지고 이런 실수를 어떻게 할 수 있는지에 대한 진지한 질문
  - 대부분의 프론트엔드 및 풀스택 프레임워크는 이런 실수를 방지하려고 노력함