GN⁺: 연구원, a16z 웹사이트의 결함 발견으로 일부 회사 데이터 노출

 (kibty.town)
1P by neo 2달전 | favorite | 댓글 1개

배경

  • 트위터를 검색하여 회사를 찾고 빠른 펜테스트를 시도하는 것을 좋아함
  • "Relevant People" 탭을 자주 사용하여 a16z에 도달함

해킹

  • a16z를 조사하면서 서브도메인 스캔과 도구를 사용하여 도메인을 검사함
  • portfolio.a16z.com이라는 사이트에서 AWS 키를 발견함
  • JavaScript 파일에서 process.env의 전체 내용이 동적으로 포함된 것을 확인함
  • 이 자격 증명은 실제 자격 증명으로 보였음

영향

  • 손상된 서비스 목록:
    • 데이터베이스 (PII 포함)
    • AWS
    • Salesforce (계정 제한 가능성 있음)
    • Mailgun (임의 이메일 전송 및 이전 이메일 읽기 가능)
    • 기타 여러 서비스

보상

  • a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않음
  • 주된 이유는:
    • 메인 사이트에 연락처가 없었음
    • 찾을 수 있는 이메일 engineering@a16z.com이 반송됨
  • 이는 불공평하다고 생각함

관련 기사

GN⁺의 정리

  • 이 기사는 펜테스트와 보안 취약점 발견의 중요성을 강조함
  • a16z와 같은 큰 회사에서도 보안 취약점이 존재할 수 있음을 보여줌
  • 공개적으로 연락하는 방법의 한계와 버그 바운티 프로그램의 중요성을 논의함
  • 비슷한 기능을 가진 프로젝트로는 HackerOne과 Bugcrowd가 있음
neo 2달전  [-]
Hacker News 의견

  • Eva는 오픈 소스 프로젝트를 철저히 펜테스트하고 전문적으로 공개했음

    • Eva는 뛰어난 해커이며 책임감 있는 해커임
    • a16z는 Eva를 더 잘 대우해야 함

  • 비슷한 실수를 한 경험이 있음

    • apostrophecms를 사용하여 API 키를 관리했음
    • HTML 소스 코드에 API 키가 출력되는 문제를 발견했음
    • 큰 컨설팅 회사에 펜테스트를 의뢰했지만 그들도 발견하지 못했음
    • 결국 직접 발견하고 로그를 확인했지만 악용되지 않았음

  • 새로운 서비스를 만들고 LetsEncrypt 인증서를 추가하면 로그에 많은 쓰레기 데이터가 나타남

    • a16z의 취약점이 발견되지 않은 것은 운이 좋았거나 악용되지 않았을 가능성이 있음
    • a16z는 법적 제재를 받아야 하지만 현재 법적 틀이 없음

  • a16z는 공개적으로 연락한 이유로 버그 바운티를 제공하지 않았음

    • 회사가 비용을 절감하기 위해 사적으로 연락할 방법을 제공하지 않는다는 의견

  • 회사들이 "해킹당했다"고 말하는 것은 중요한 자격 증명을 안전하게 보호하지 못한 것을 의미함

  • 광범위한 취약점에 대해 최소한의 보상도 제공하지 않은 것은 부적절함

  • a16z는 "생성적 AI의 아키텍처" 백서를 작성하느라 바쁨

    • 세상이 소프트웨어 업데이트 문제로 혼란스러운 동안 미래의 에이전트 세계를 꿈꾸고 있음

  • Salesforce 인스턴스에 접근할 수 있었다면 창업자들에게 매우 불안한 상황이었을 것임

    • Salesforce는 이메일을 기록하며, 이는 외부에 공유되지 않은 자금 조달 계획이나 M&A 계획을 포함할 수 있음

  • VC 회사가 이런 큰 취약점에 대해 버그 바운티를 제공하지 않은 것은 신뢰를 주지 않음

  • 복잡한 웹 앱을 만들 수 있는 기술을 가지고 이런 실수를 어떻게 할 수 있는지에 대한 진지한 질문

    • 대부분의 프론트엔드 및 풀스택 프레임워크는 이런 실수를 방지하려고 노력함
답변달기