Haziran ayının sonunda bir güvenlik araştırmacısı, Silikon Vadisi’nin en güçlü ve etkili risk sermayesi şirketlerinden biri olan a16z tarafından kullanılan bir web uygulamasında, firmanın portföy şirketleri hakkında bazı verileri açığa çıkaran bir güvenlik açığı buldu. Hata o zamandan beri düzeltildi.
30 Haziran’da xyzeva adlı bir güvenlik araştırmacısı X’e a16z’den ulaşacak birini aradığını yazdı ve bir güvenlik sorunu bulduğunu ima etti.
“Hemen iletişime geçin. o kötü. güvenlikle ilgili” diye yazdı.
TechCrunch tarafından ulaşılan xyzeva, a16z portföy portalında “temelde her şeye erişim sağlayan” “gerçekten basit bir hata” bulduğunu söyledi. Daha spesifik olarak, portfolyo.a16z.com sitesinde açıkta kalan API anahtarlarını bulduğunu söyledi. xyzeva görebildiği bilgilerin şunları içerdiğini söyledi: e-postalar, şifreler ve “şirket ayrıntıları ve çalışanlar.” Ayrıca, e-postaları a16z olarak gönderebileceğini ve bir e-posta dağıtım hizmeti olan Mailgun ile şirketin hesabından daha önce gönderilen e-postalara erişebileceğini de sözlerine ekledi.
a16z’nin bilgi güvenliği sorumlusu Bryan Green, TechCrunch’a yaptığı açıklamada, şirketin hatayı xyzeva’nın gönderiyi yazıp şirketle iletişime geçtiği gün düzelttiğini doğruladı ancak sorunun herhangi bir şeyi etkilemediğini söyledi. hassas veri.
“30 Haziran’da a16z, web sitemizde şirket logoları ve sosyal medya profilleri gibi kamuya açık bilgilerin güncellenmesine yönelik özel kullanım durumu için kullanılan bir web uygulamasındaki yanlış yapılandırmayı ele aldı. Sorun hızlı bir şekilde çözüldü ve hiçbir hassas veri tehlikeye atılmadı” dedi Green. “Etik açıklamalar konusunda güvenlik topluluğuyla işbirliği yapmaya kararlıyız ve bunu sorumlu yöntemlerle yapmaya devam edeceğiz.”
TechCrunch tarafından görülen ve xyzeva’nın bir hata ödül programı (güvenlik araştırmacılarının bulguları için ödüllendirilmelerinin bir yolu) hakkında bilgi aldığı bir yazılı görüşmede, bir şirket çalışanı ona firmanın böyle bir program sağlamadığını söyledi. Çalışan, “Ancak analizi tamamladıktan sonra bu durumda sizin için özel olarak bir şeyler ayarlamaya çalışmaktan çok mutluyum” dedi.
Ancak günler sonra TechCrunch tarafından görülen başka bir mesaj paylaşımına göre çalışan xyzeva’ya “maalesef bazı şeylerin önümüze çıktığını” söyledi.
“Birincisi, açıklama yöntemi var. Ciddi bir sorunun kamuya açık olarak yayınlanması, potansiyel saldırganların sorunu aramak için sitelerimizi taraması anlamına geliyordu; bu da bizim için riski gereksiz yere artırdı ve güvenlik açığı açıklamalarının nasıl yapıldığına ilişkin normların dışında kaldı,” dedi çalışan. “İkincisi, ‘temelde her şeye tam erişim’i yanlış bir şekilde tanımlayan ve bir yazı sözü veren takip gönderisi, takıma iyi niyet sinyali vermiyordu. Eğer bunlardan herhangi biri yanlış anlaşılırsa, lütfen bana bildirin.”
Güvenlik araştırmacılarının, güvenlik açığı veya sorun giderildiğinde ve artık risk altında olmadığında bulgularını açıklaması alışılmadık bir durum değildir.
Bu yazının yazıldığı an itibarıyla xyzeva’nın sorunu bulduğu portal mevcut değil. Sitede “Bu uygulama kullanımdan kaldırılıyor” mesajı okundu.
Yıllar boyunca a16z, Airbnb, Coinbase, Instacart, Lyft ve Slack gibi birçok tanınmış şirkete yatırım yaptı. Firmanın kurucuları Marc Andreesen ve Ben Horowitz geçtiğimiz günlerde yaklaşan başkanlık seçimlerinde Donald Trump’ı desteklediklerini söylediler.
Kaynak: https://techcrunch.com/2024/07/18/researcher-finds-flaw-in-a16z-website-that-exposed-some-company-data/