باحث يجد خللاً في موقع a16z أدى إلى كشف بعض بيانات الشركة
في نهاية شهر يونيو، اكتشف باحث أمني ثغرة أمنية في تطبيق ويب تستخدمه شركة a16z، إحدى أقوى شركات رأس المال الاستثماري وأكثرها تأثيرًا في وادي السيليكون، مما أدى إلى كشف بعض البيانات حول الشركات التابعة للشركة. وقد تم إصلاح الخلل منذ ذلك الحين.
في 30 يونيو، كتبت باحثة أمنية تدعى xyzeva على X أنها كانت تبحث عن شخص من a16z للتواصل، ملمحة إلى أنها وجدت مشكلة أمنية.
“اتصل الآن. انها سيئة. كتبت: “متعلقة بالأمن”.
عندما تواصلت معها TechCrunch، قالت xyzeva إنها عثرت على “خطأ بسيط حقًا” “يتيح الوصول إلى كل شيء” على بوابة محفظة a16z. وبشكل أكثر تحديدًا، قالت إنها عثرت على مفاتيح واجهة برمجة التطبيقات (API) المكشوفة على موقع Portfolio.a16z.com. وقالت xyzeva إن المعلومات التي تمكنت من رؤيتها تضمنت: رسائل البريد الإلكتروني وكلمات المرور و”تفاصيل الشركة والموظفين”. وأضافت أيضًا أنه كان بإمكانها إرسال رسائل بريد إلكتروني باسم a16z والوصول إلى رسائل البريد الإلكتروني المرسلة مسبقًا من حساب الشركة مع Mailgun، وهي خدمة تسليم البريد الإلكتروني.
في تصريح لـ TechCrunch، أكد براين جرين، كبير مسؤولي أمن المعلومات في a16z، أن الشركة أصلحت الخلل في نفس اليوم الذي كتبت فيه xyzeva المنشور وتواصلت مع الشركة، لكنه قال إن المشكلة لم تؤثر على أي شيء بيانات حساسة.
“في 30 يونيو، عالجت a16z مشكلة تكوين خاطئ في تطبيق ويب يُستخدم لحالة الاستخدام المحددة لتحديث المعلومات المتاحة للجمهور على موقعنا الإلكتروني مثل شعارات الشركة وملفات تعريف الوسائط الاجتماعية. قال جرين: “تم حل المشكلة بسرعة ولم يتم اختراق أي بيانات حساسة”. “نحن لا نزال ملتزمين بالتعاون مع مجتمع الأمن بشأن الإفصاحات الأخلاقية وسنواصل القيام بذلك من خلال وسائل مسؤولة.”
في محادثة نصية اطلعت عليها TechCrunch، حيث استفسرت xyzeva عن برنامج مكافآت الأخطاء – وهي طريقة يمكن للباحثين الأمنيين الحصول على مكافأة مقابل النتائج التي توصلوا إليها – أخبرها أحد موظفي الشركة أن الشركة لا توفر واحدًا. قال الموظف: “ومع ذلك، بعد أن نكمل التحليل، يسعدني جدًا أن أحاول إعداد شيء محدد لك في هذه الحالة”.
ومع ذلك، بعد أيام، أخبر الموظف xyzeva أنه “للأسف، هناك بعض الأشياء التي تعيق الطريق”، وفقًا لتبادل نصي آخر شاهدته TechCrunch.
“أولاً، هناك طريقة الكشف. قال الموظف: “إن نشر وجود مشكلة خطيرة علنًا يعني أن المهاجمين المحتملين من المحتمل أن يقوموا بمسح مواقعنا للبحث عن المشكلة، مما يزيد من المخاطر بالنسبة لنا دون داعٍ وهو خارج نطاق قواعد كيفية إجراء الكشف عن الثغرات الأمنية”. “ثانيًا، منشور المتابعة الذي وصف بشكل غير صحيح “الوصول الكامل إلى كل شيء بشكل أساسي” ووعد بكتابة لم يشر إلى أفضل النوايا للفريق. إذا أسيء فهم أي من هذا، فيرجى إبلاغي بذلك. “
ليس من غير المألوف أن يكشف الباحثون الأمنيون عن النتائج التي توصلوا إليها عندما يتم إصلاح الثغرة الأمنية أو المشكلة ولم يعودوا معرضين للخطر.
حتى كتابة هذه السطور، البوابة التي وجدت فيها xyzeva المشكلة غير متاحة. “تم إهمال هذا التطبيق،” اقرأ رسالة على الموقع.
على مر السنين، استثمرت a16z في العديد من الشركات المعروفة مثل Airbnb وCoinbase وInstacart وLyft وSlack وغيرها الكثير. صرح مؤسسا الشركة مارك أندريسن وبن هورويتز مؤخرًا أنهما يدعمان دونالد ترامب في الانتخابات الرئاسية المقبلة.
