研究人员发现 a16z 网站存在漏洞,暴露公司数据

一名安全研究人员在硅谷著名的风险投资公司 a16z 使用的 Web 应用程序中发现了一个漏洞,该漏洞暴露了与该公司投资组合公司相关的数据。该漏洞于 6 月底发现,允许访问电子邮件、密码和公司详细信息,甚至使研究人员能够从 a16z 的 Mailgun 帐户发送和访问电子邮件。此问题已得到解决。来源

这位名为 xyzeva 的研究人员通过 X(前身为 Twitter)上的帖子公开了这一发现,由于问题的严重性,敦促 a16z 立即联系。在此之后,她向 TechCrunch 解释说,该漏洞是由公司投资组合门户上暴露的 API 密钥引起的,并将其描述为一个“非常简单的错误”,授予了广泛的访问权限。来源

a16z 的首席信息安全官布莱恩·格林(Bryan Green)证实,该漏洞在报告的同一天就得到了纠正。他强调,错误配置仅涉及公开可用的信息,并保证没有敏感数据受到损害。Green 强调了 a16z 致力于与安全社区进行道德合作,以负责任的漏洞披露。来源