Peneliti menemukan celah di situs web a16z yang membocorkan sebagian data perusahaan

 (kibty.town)
1 poin oleh GN⁺ 2024-07-21 | 1 komentar | Bagikan ke WhatsApp

Latar belakang

  • Suka mencari perusahaan di Twitter dan mencoba pentest cepat
  • Sering menggunakan tab "Relevant People" dan akhirnya menemukan a16z

Peretasan

  • Saat meneliti a16z, melakukan pemindaian subdomain dan memeriksa domain menggunakan berbagai alat
  • Menemukan kunci AWS di situs portfolio.a16z.com
  • Memastikan bahwa seluruh isi process.env disertakan secara dinamis dalam file JavaScript
  • Kredensial ini tampak seperti kredensial yang nyata

Dampak

  • Daftar layanan yang terdampak:
    • Basis data (termasuk PII)
    • AWS
    • Salesforce (kemungkinan akses akun terbatas)
    • Mailgun (dapat mengirim email sewenang-wenang dan membaca email sebelumnya)
    • Berbagai layanan lainnya

Imbalan

  • a16z tidak memberikan bug bounty karena peneliti menghubungi mereka secara terbuka
  • Alasan utamanya:
    • Tidak ada kontak di situs utama
    • Email yang dapat ditemukan, engineering@a16z.com, memantul
  • Peneliti menganggap ini tidak adil

Artikel terkait

Ringkasan GN⁺

  • Artikel ini menekankan pentingnya pentest dan penemuan kerentanan keamanan
  • Menunjukkan bahwa bahkan perusahaan besar seperti a16z pun bisa memiliki celah keamanan
  • Membahas keterbatasan cara menghubungi secara terbuka dan pentingnya program bug bounty
  • Proyek dengan fungsi serupa antara lain HackerOne dan Bugcrowd

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-21
Opini Hacker News

  • Eva melakukan pentest pada proyek open source secara menyeluruh dan mengungkapkannya secara profesional

    • Eva adalah peretas yang hebat dan juga bertanggung jawab
    • a16z seharusnya memperlakukan Eva dengan lebih baik

  • Ada yang pernah mengalami kesalahan serupa

    • Menggunakan apostrophecms untuk mengelola API key
    • Menemukan masalah bahwa API key ditampilkan di source code HTML
    • Sudah meminta perusahaan konsultan besar melakukan pentest, tetapi mereka juga tidak menemukannya
    • Pada akhirnya menemukannya sendiri dan memeriksa log, tetapi tidak dieksploitasi

  • Saat membuat layanan baru dan menambahkan sertifikat LetsEncrypt, banyak data sampah muncul di log

    • Bisa jadi a16z beruntung karena celahnya tidak ditemukan, atau ditemukan tetapi tidak dieksploitasi
    • a16z seharusnya menghadapi sanksi hukum, tetapi saat ini belum ada kerangka hukum yang memadai

  • a16z tidak memberikan bug bounty karena masalah tersebut dihubungi secara publik

    • Ada pendapat bahwa perusahaan tidak menyediakan cara untuk menghubungi secara privat demi menghemat biaya

  • Ketika perusahaan mengatakan mereka "diretas", itu berarti mereka gagal melindungi kredensial penting dengan aman

  • Tidak pantas jika tidak memberikan kompensasi minimal sekalipun atas kerentanan yang begitu luas

  • a16z sibuk menulis whitepaper tentang "arsitektur AI generatif"

    • Saat dunia kacau karena masalah pembaruan software, mereka justru memimpikan dunia agen masa depan

  • Jika akses ke instance Salesforce memang memungkinkan, itu pasti situasi yang sangat meresahkan bagi para founder

    • Salesforce mencatat email, dan itu bisa mencakup rencana pendanaan atau rencana M&A yang belum dibagikan ke pihak luar

  • Fakta bahwa firma VC tidak memberikan bug bounty untuk kerentanan sebesar ini tidak menumbuhkan kepercayaan

  • Ada pertanyaan serius tentang bagaimana mereka bisa melakukan kesalahan seperti ini meski memiliki teknologi untuk membuat web app yang kompleks

    • Sebagian besar framework frontend dan full-stack berupaya mencegah kesalahan semacam ini