1. Researcher finds flaw in a16z website that exposed some company data (www.kibty.town)
背景与漏洞发现
研究人员在通过社交媒体寻找目标进行渗透测试时,将目标锁定为知名风投公司 a16z。在对 a16z 进行子域名扫描时,研究人员使用自动化工具扫描 JavaScript 文件中的敏感信息,发现了疑似用于投资组合管理的子域名 portfolio.a16z.com。
漏洞详情
在检查该子域名的前端 JS 文件时,研究人员发现整个 Heroku 实例的环境变量(process.env)被动态注入到了前端代码中。任何人只需通过浏览器的“检查元素”功能即可轻易获取这些真实的敏感凭证。泄露的关键数据包括:
- 数据库连接 URL
- AWS 存储桶名称、访问密钥(Access Key ID)和私密密钥(Secret Access Key)
- Salesforce、Okta、Google 的客户端 ID、Secret 及相关密码
- Mailgun 的 API 密钥、域名、用户名和密码
- 各类 Session Secret、Cookie Secret 及 API 密码
安全影响
该配置错误导致 a16z 的多项核心服务面临严重的安全风险,具体影响包括:
- 数据库泄露:包含个人身份信息(PII)的数据库被暴露。
- 云基础设施:AWS 资源控制权暴露。
- 邮件系统劫持:Mailgun 凭证泄露,攻击者可伪造 a16z 域名发送任意邮件,并读取历史邮件。
- 企业服务风险:Salesforce、Okta 等企业级 SaaS 服务账户面临被未授权访问的风险。
披露过程与奖励争议
研究人员最终未获得 a16z 的漏洞赏金。a16z 拒付的理由是研究人员选择了公开披露(通过 Twitter 喊话)而非私下联系。研究人员对此解释称,由于 a16z 官方网站未提供可用的安全联系方式,且其公开的安全邮箱(security@a16z.com)存在退信(bounced)问题,导致无法进行私下沟通。研究人员指出,因官方渠道失效而被迫公开联系,以此为由拒付赏金有失公允。该安全事件随后被 TechCrunch 等科技媒体跟进报道。