Haziran ayının sonunda bir güvenlik araştırmacısı, Silikon Vadisi’nin en güçlü ve etkili girişim sermayesi şirketlerinden biri olan a16z tarafından kullanılan bir web uygulamasında, şirketin portföy şirketleri hakkında bazı verileri ifşa eden bir güvenlik açığı buldu. Hata o zamandan beri düzeltildi.
30 Haziran’da xyzeva adıyla bilinen bir güvenlik araştırmacısı X’e yazdı a16z’den birine ulaşmak istediğini, bir güvenlik sorunu bulduğunu ima etti.
“Hemen iletişime geçin. Durum kötü. Güvenlikle ilgili,” diye yazdı.
TechCrunch’a ulaştığında xyzeva, a16z portföy portalındaki “temelde her şeye erişim sağlayan” “gerçekten basit bir hata” bulduğunu söyledi. Daha spesifik olarak, portfolio.a16z.com sitesinde ifşa edilmiş API anahtarları bulduğunu söyledi. xyzeva, görebildiği bilgilerin şunları içerdiğini söyledi: e-postalar, parolalar ve “şirket bilgileri ve çalışanlar.” Ayrıca, e-postaları a16z olarak gönderebileceğini ve daha önce gönderilmiş e-postalara şirketin Mailgun adlı e-posta teslim hizmeti hesabından erişebileceğini de sözlerine ekledi.
a16z’nin baş bilgi güvenliği sorumlusu Bryan Green, TechCrunch’a yaptığı açıklamada, şirketin hatayı xyzeva’nın yazıyı yazdığı ve şirketle iletişime geçtiği gün düzelttiğini doğruladı ancak sorunun herhangi bir hassas veriyi etkilemediğini söyledi.
“30 Haziran’da a16z, şirket logoları ve sosyal medya profilleri gibi web sitemizdeki herkese açık bilgileri güncellemek için kullanılan belirli bir kullanım durumu için kullanılan bir web uygulamasındaki yanlış yapılandırmayı ele aldı. Sorun hızla çözüldü ve hassas veriler tehlikeye atılmadı,” dedi Green. “Etik ifşalar konusunda güvenlik topluluğuyla iş birliği yapmaya kararlıyız ve bunu sorumlu yollarla yapmaya devam edeceğiz.”
TechCrunch tarafından görülen bir metin sohbetinde, xyzeva bir hata ödül programı hakkında bilgi aldı — güvenlik araştırmacılarının bulguları için ödüllendirilmelerinin bir yolu — şirket çalışanı ona firmanın böyle bir program sağlamadığını söyledi. Çalışan, “Ancak analizi tamamladıktan sonra bu durumda sizin için özel olarak bir şeyler ayarlamaya çalışmaktan çok mutluyum,” dedi.
Ancak TechCrunch’ın gördüğü bir başka metin alışverişine göre, birkaç gün sonra çalışan xyzeva’ya “maalesef yolda birkaç şey var” dedi.
“Öncelikle, ifşa yöntemi var. Ciddi bir sorun olduğunu herkese açık bir şekilde yayınlamak, potansiyel saldırganların sorunu aramak için sitelerimizi taramaları anlamına geliyordu, bu da bizim için gereksiz yere riski artırdı ve güvenlik açığı ifşalarının nasıl yapıldığına dair normların dışındaydı,” dedi çalışan. “İkincisi, ‘temelde her şeye tam erişim’ ifadesini yanlış bir şekilde tanımlayan ve bir yazı vaat eden takip eden gönderi, ekibe en iyi niyetleri göstermedi. Bunlardan herhangi biri yanlış anlaşılıyorsa lütfen bana bildirin.”
Güvenlik araştırmacılarının, güvenlik açığı veya sorun giderildiğinde ve artık risk altında olmadığında bulgularını ifşa etmeleri alışılmadık bir durum değildir.
Bu yazının yazıldığı tarih itibarıyla, xyzeva’nın sorunu bulduğu portal mevcut değil. “Bu uygulama kullanımdan kaldırılıyor,” bir mesajı oku sitede.
Yıllar boyunca a16z, Airbnb, Coinbase, Instacart, Lyft ve Slack gibi tanınmış şirketlere yatırım yaptı. diğerlerinin yanı sıraŞirketin kurucuları Marc Andreesen ve Ben Horowitz, yakın zamanda yapılacak başkanlık seçimlerinde Donald Trump’ı desteklediklerini açıkladılar.