Одна из самых влиятельных венчурных компаний Кремниевой долины с активами на сумму 42 миллиарда долларов кинула исследователя, отказавшись выплачивать вознаграждение за обнаружение ошибки в ее веб-приложении.
30 июня исследователь с ником xyzeva написала в X, что ищет представителя a16z с намерением обсудить проблему безопасности.
Как оказалось, xyzeva нашла действительно простую и одновременно серьезную ошибку, которая открывала доступ ко всему на портале компании a16z.
Проблема была связана с открытыми ключами API на сайте, которые позволяли потенциальному злоумышленнику завладеть адресами электронной почты и паролями, а также данными компании и сотрудников.
Кроме того, уязвимость позволяла отправлять электронные письма от имени a16z и получать доступ к ранее отправленным электронным письмам из учетной записи компании с помощью Mailgun.
Причем официально директор по ИБ Брайан Грин подтвердил официально: компания исправила ошибку в тот же день, когда xyzeva выкатила пост и связалась с компанией, заверив, что проблема не затронула какие-либо конфиденциальные данные.
Однако, когда речь зашла про вознаграждение, заявления компании о приверженности к сотрудничеству в вопросах этического раскрытия информации резко поменялось.
Для отказа в выплате в a16z нашли сразу два формальных подвода, упрекнув исследователя в огласке проблемы и ее неправильном описании.
Как говорится, ничего личного, просто бизнес.
30 июня исследователь с ником xyzeva написала в X, что ищет представителя a16z с намерением обсудить проблему безопасности.
Как оказалось, xyzeva нашла действительно простую и одновременно серьезную ошибку, которая открывала доступ ко всему на портале компании a16z.
Проблема была связана с открытыми ключами API на сайте, которые позволяли потенциальному злоумышленнику завладеть адресами электронной почты и паролями, а также данными компании и сотрудников.
Кроме того, уязвимость позволяла отправлять электронные письма от имени a16z и получать доступ к ранее отправленным электронным письмам из учетной записи компании с помощью Mailgun.
Причем официально директор по ИБ Брайан Грин подтвердил официально: компания исправила ошибку в тот же день, когда xyzeva выкатила пост и связалась с компанией, заверив, что проблема не затронула какие-либо конфиденциальные данные.
Однако, когда речь зашла про вознаграждение, заявления компании о приверженности к сотрудничеству в вопросах этического раскрытия информации резко поменялось.
Для отказа в выплате в a16z нашли сразу два формальных подвода, упрекнув исследователя в огласке проблемы и ее неправильном описании.
Как говорится, ничего личного, просто бизнес.