शोधकर्ता ने a16z वेबसाइट में खामी खोजी, जिससे कुछ कंपनी डेटा उजागर हुआ

 (kibty.town)
1 पॉइंट द्वारा GN⁺ 2024-07-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें

पृष्ठभूमि

  • ट्विटर पर खोजकर कंपनियाँ ढूँढना और तेज़ पेनटेस्ट आज़माना पसंद है
  • अक्सर "Relevant People" टैब का उपयोग करते हुए a16z तक पहुँचे

हैकिंग

  • a16z की जाँच करते समय subdomain scan और tools का उपयोग करके domain की जाँच की
  • portfolio.a16z.com नाम की साइट पर AWS key मिली
  • JavaScript फ़ाइल में process.env की पूरी सामग्री को dynamic रूप से शामिल किया गया था, यह पाया
  • ये credentials वास्तविक credentials जैसे लग रहे थे

प्रभाव

  • प्रभावित services की सूची:
    • database (PII सहित)
    • AWS
    • Salesforce (account restriction की संभावना)
    • Mailgun (मनमाने email भेजना और पुराने email पढ़ना संभव)
    • कई अन्य services

इनाम

  • a16z ने सार्वजनिक रूप से संपर्क करने के कारण bug bounty नहीं दिया
  • मुख्य कारण थे:
    • मुख्य साइट पर संपर्क जानकारी नहीं थी
    • जो email मिला, engineering@a16z.com, वह bounce हो गया
  • लेखक का मानना है कि यह अनुचित है

संबंधित लेख

GN⁺ का सार

  • यह लेख पेनटेस्ट और security vulnerability खोजने के महत्व पर ज़ोर देता है
  • यह दिखाता है कि a16z जैसी बड़ी कंपनियों में भी security vulnerabilities मौजूद हो सकती हैं
  • यह सार्वजनिक रूप से संपर्क करने के तरीकों की सीमाओं और bug bounty program के महत्व पर चर्चा करता है
  • मिलती-जुलती सुविधाओं वाले projects में HackerOne और Bugcrowd शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-21
Hacker News राय

  • Eva ने open source प्रोजेक्ट्स का बहुत गहराई से pentest किया और उसे प्रोफेशनल तरीके से public किया

    • Eva एक बेहतरीन hacker है और ज़िम्मेदार hacker भी है
    • a16z को Eva के साथ बेहतर व्यवहार करना चाहिए

  • ऐसा ही एक गलती करने का अनुभव रहा है

    • API keys मैनेज करने के लिए apostrophecms का इस्तेमाल किया था
    • पाया कि HTML source code में API key render हो रही थी
    • एक बड़ी consulting company से pentest करवाया था, लेकिन वे भी इसे नहीं ढूंढ पाए
    • आखिरकार खुद पता लगाया और logs चेक किए, लेकिन इसका दुरुपयोग नहीं हुआ था

  • जब कोई नई service बनाते हैं और LetsEncrypt certificate जोड़ते हैं, तो logs में बहुत सारा बेकार data दिखने लगता है

    • संभव है कि a16z की vulnerability सिर्फ किस्मत से नहीं मिली, या उसका exploit नहीं किया गया
    • a16z पर कानूनी कार्रवाई होनी चाहिए, लेकिन अभी ऐसा legal framework मौजूद नहीं है

  • a16z ने public तरीके से संपर्क करने की वजह से bug bounty नहीं दी

    • राय यह है कि companies लागत बचाने के लिए private contact का तरीका ही उपलब्ध नहीं करातीं

  • जब companies कहती हैं कि उन्हें "hack" कर लिया गया, तो इसका मतलब अक्सर यह होता है कि वे महत्वपूर्ण credentials को सुरक्षित रखने में विफल रहीं

  • इतनी व्यापक vulnerability पर न्यूनतम reward भी न देना उचित नहीं है

  • a16z "जनरेटिव AI की आर्किटेक्चर" whitepaper लिखने में व्यस्त है

    • जब दुनिया software update की समस्याओं से उलझी हुई है, तब वे भविष्य की agent world के सपने देख रहे हैं

  • अगर Salesforce instance तक पहुंच संभव थी, तो founders के लिए यह बहुत चिंताजनक स्थिति होती

    • Salesforce emails को log करता है, और इनमें funding plans या M&A plans जैसी ऐसी बातें हो सकती हैं जो बाहर share नहीं की गई हों

  • इतनी बड़ी vulnerability पर किसी VC firm का bug bounty न देना भरोसा नहीं जगाता

  • यह एक गंभीर सवाल है कि complex web apps बनाने की तकनीकी क्षमता होने के बावजूद ऐसी गलती कैसे हो सकती है

    • ज़्यादातर frontend और full-stack frameworks ऐसी गलतियों को रोकने की कोशिश करते हैं