Un chercheur découvre une faille sur le site d’a16z qui a exposé certaines données d’entreprises

 (kibty.town)
1 points par GN⁺ 2024-07-21 | 1 commentaires | Partager sur WhatsApp

Contexte

  • J’aime chercher des entreprises sur Twitter et tenter un pentest rapide
  • J’utilise souvent l’onglet « Relevant People », ce qui m’a mené à a16z

Piratage

  • En enquêtant sur a16z, j’ai effectué un scan de sous-domaines et utilisé des outils pour inspecter le domaine
  • J’ai découvert des clés AWS sur un site appelé portfolio.a16z.com
  • J’ai constaté que l’intégralité du contenu de process.env était incluse dynamiquement dans un fichier JavaScript
  • Ces identifiants semblaient être de vrais identifiants

Impact

  • Liste des services compromis :
    • base de données (y compris des PII)
    • AWS
    • Salesforce (avec possibilité de restrictions de compte)
    • Mailgun (envoi d’e-mails arbitraires et lecture d’anciens e-mails possibles)
    • plusieurs autres services

Récompense

  • a16z n’a pas accordé de bug bounty en raison de la prise de contact publique
  • Principales raisons :
    • il n’y avait pas de contact sur le site principal
    • l’adresse e-mail trouvable, engineering@a16z.com, renvoyait un message d’échec
  • Je pense que ce n’est pas équitable

Article connexe

  • Article de TechCrunch : lien

Résumé de GN⁺

  • Cet article souligne l’importance des pentests et de la découverte de vulnérabilités de sécurité
  • Il montre que même de grandes entreprises comme a16z peuvent avoir des failles de sécurité
  • Il évoque les limites des méthodes de divulgation publique et l’importance des programmes de bug bounty
  • Parmi les projets aux fonctionnalités similaires, on peut citer HackerOne et Bugcrowd

À lire aussi

1 commentaires

 
GN⁺ 2024-07-21
Avis Hacker News

  • Eva a réalisé un pentest approfondi du projet open source et l’a divulgué de manière professionnelle

    • Eva est une excellente hackeuse et une hackeuse responsable
    • a16z devrait mieux traiter Eva

  • Expérience d’une erreur similaire

    • utilisation de apostrophecms pour gérer des clés API
    • découverte d’un problème où les clés API étaient affichées dans le code source HTML
    • recours à un pentest auprès d’un grand cabinet de conseil, mais ils ne l’ont pas détecté non plus
    • finalement découvert par soi-même puis vérification des logs, sans signe d’exploitation

  • Quand on crée un nouveau service et qu’on ajoute un certificat LetsEncrypt, beaucoup de données parasites apparaissent dans les logs

    • si la faille de a16z n’a pas été détectée, c’est peut-être par chance ou parce qu’elle n’a pas été exploitée
    • a16z devrait faire l’objet de sanctions juridiques, mais il n’existe actuellement aucun cadre légal adapté

  • a16z n’a pas offert de bug bounty parce que la prise de contact a été faite publiquement

    • avis selon lequel l’entreprise ne fournit pas de moyen de contact privé afin de réduire ses coûts

  • Quand des entreprises disent qu’elles ont été « piratées », cela signifie qu’elles n’ont pas su protéger correctement des identifiants importants

  • Il est inapproprié de n’offrir même pas une récompense minimale pour une vulnérabilité d’une telle ampleur

  • a16z est occupé à rédiger un livre blanc sur « l’architecture de l’IA générative »

    • alors que le monde est en plein chaos à cause des problèmes de mise à jour logicielle, ils rêvent d’un futur monde d’agents

  • S’il était possible d’accéder à une instance Salesforce, la situation aurait été très inquiétante pour les fondateurs

    • Salesforce consigne les e-mails, ce qui peut inclure des plans de levée de fonds ou de M&A non partagés à l’extérieur

  • Le fait qu’un fonds de capital-risque n’ait pas proposé de bug bounty pour une faille aussi importante n’inspire pas confiance

  • Question sérieuse sur la façon dont on peut commettre ce genre d’erreur tout en ayant les compétences pour créer des applications web complexes

    • la plupart des frameworks frontend et full stack essaient d’empêcher ce type d’erreur