Ende Juni entdeckte ein Sicherheitsforscher eine Schwachstelle in einer Web-App von a16z, einer der mächtigsten und einflussreichsten Risikokapitalfirmen im Silicon Valley. Dadurch wurden einige Daten über die Portfoliounternehmen der Firma preisgegeben. Der Fehler wurde inzwischen behoben.
Am 30. Juni hat ein Sicherheitsforscher namens xyzeva schrieb am X dass sie jemanden von a16z suchte, mit dem sie Kontakt aufnehmen konnte, und deutete an, dass sie auf ein Sicherheitsproblem gestoßen sei.
„Melden Sie sich sofort. Es ist schlimm. Sicherheitsbezogen“, schrieb sie.
Als Tech sie kontaktierte, sagte xyzeva, sie habe „einen wirklich einfachen Fehler“ gefunden, der „im Grunde genommen Zugriff auf alles“ auf dem Portfolio-Portal von a16z gewährte. Genauer gesagt sagte sie, sie habe auf der Website portfolio.a16z.com offengelegte API-Schlüssel gefunden. xyzeva sagte, die Informationen, die sie einsehen konnte, umfassten: E-Mails, Passwörter und „Firmendetails und Mitarbeiter“. Außerdem, fügte sie hinzu, hätte sie E-Mails als a16z senden und auf zuvor gesendete E-Mails vom Firmenkonto mit Mailgun, einem E-Mail-Zustellungsdienst, zugreifen können.
In einem Statement gegenüber Tech bestätigte Bryan Green, der Chief Information Security Officer bei a16z, dass das Unternehmen den Fehler am selben Tag behoben habe, an dem xyzeva den Beitrag verfasste und Kontakt mit dem Unternehmen aufnahm. Er sagte aber auch, dass das Problem keine sensiblen Daten betroffen habe.
„Am 30. Juni hat a16z eine Fehlkonfiguration in einer Web-App behoben, die für den speziellen Anwendungsfall der Aktualisierung öffentlich verfügbarer Informationen auf unserer Website wie Firmenlogos und Social-Media-Profile verwendet wird. Das Problem wurde schnell behoben und es wurden keine sensiblen Daten kompromittiert“, sagte Green. „Wir sind weiterhin bestrebt, mit der Sicherheitsgemeinschaft bei ethischen Offenlegungen zusammenzuarbeiten und werden dies auch weiterhin auf verantwortungsvolle Weise tun.“
In einer von Tech eingesehenen Textkonversation, in der xyzeva nach einem Bug-Bounty-Programm fragte – einer Möglichkeit für Sicherheitsforscher, für ihre Erkenntnisse belohnt zu werden – teilte ihr ein Mitarbeiter des Unternehmens mit, dass die Firma kein solches Programm anbiete. „Nach Abschluss der Analyse werde ich jedoch gerne versuchen, in diesem Fall etwas speziell für Sie einzurichten“, sagte der Mitarbeiter.
Tage später teilte der Mitarbeiter xyzeva jedoch mit, dass „leider ein paar Dinge im Weg stehen“, wie aus einem anderen Textaustausch hervorgeht, der Tech vorliegt.
„Erstens ist da die Offenlegungsmethode. Die öffentliche Bekanntgabe eines schwerwiegenden Problems bedeutete, dass potenzielle Angreifer wahrscheinlich unsere Websites nach dem Problem durchsuchen würden, was das Risiko für uns unnötig erhöhte und nicht der Norm entspricht, wie Schwachstellen offengelegt werden“, sagte der Mitarbeiter. „Zweitens zeugte der Folgebeitrag, der fälschlicherweise ‚vollständigen Zugriff auf praktisch alles‘ beschrieb und eine schriftliche Veröffentlichung versprach, nicht von den besten Absichten des Teams. Wenn irgendetwas davon missverstanden wird, lassen Sie es mich bitte wissen.“
Es kommt häufig vor, dass Sicherheitsforscher ihre Erkenntnisse erst dann bekannt geben, wenn die Schwachstelle oder das Problem behoben ist und kein Risiko mehr besteht.
Zum Zeitpunkt des Schreibens dieses Artikels ist das Portal, in dem xyzeva das Problem gefunden hat, nicht verfügbar. „Diese Anwendung wird nicht mehr unterstützt“, eine Nachricht lesen auf der Website.
Im Laufe der Jahre hat a16z in mehrere bekannte Unternehmen wie Airbnb, Coinbase, Instacart, Lyft und Slack investiert. unter vielen anderenDie Firmengründer Marc Andreesen und Ben Horowitz haben kürzlich erklärt, dass sie Donald Trump bei den kommenden Präsidentschaftswahlen unterstützen werden.