A finales de junio, un investigador de seguridad encontró una vulnerabilidad en una aplicación web utilizada por a16z, una de las empresas de capital de riesgo más poderosas e influyentes de Silicon Valley, que exponía algunos datos sobre las empresas de la cartera de la empresa. El error ya se ha corregido.
El 30 de junio, un investigador de seguridad que se hace llamar xyzeva escribió en X que estaba buscando a alguien de a16z para comunicarse, insinuando que había encontrado un problema de seguridad.
“Ponte en contacto ahora. Es un problema de seguridad”, escribió.
Cuando TechCrunch se puso en contacto con ella, xyzeva dijo que había encontrado “un error muy simple” que “básicamente daba acceso a todo” en el portal de carteras a16z. Más específicamente, dijo que encontró claves API expuestas en el sitio portfolio.a16z.com. xyzeva dijo que la información que pudo ver incluía: correos electrónicos, contraseñas y “detalles de la empresa y empleados”. Además, agregó, podría haber enviado correos electrónicos como a16z y acceder a correos electrónicos enviados anteriormente desde la cuenta de la empresa con Mailgun, un servicio de entrega de correo electrónico.
En una declaración a TechCrunch, Bryan Green, director de seguridad informática de a16z, confirmó que la compañía solucionó el error el mismo día que xyzeva escribió la publicación y se puso en contacto con la compañía, pero dijo que el problema no afectó ningún dato confidencial.
“El 30 de junio, a16z solucionó un problema de configuración en una aplicación web que se utiliza para el caso de uso específico de actualizar información disponible públicamente en nuestro sitio web, como logotipos de empresas y perfiles de redes sociales. El problema se resolvió rápidamente y no se comprometió ningún dato confidencial”, afirmó Green. “Seguimos comprometidos a colaborar con la comunidad de seguridad en materia de divulgación ética y continuaremos haciéndolo a través de medios responsables”.
En una conversación de texto vista por TechCrunch, donde xyzeva preguntó sobre un programa de recompensas por errores (una forma en que los investigadores de seguridad pueden obtener recompensas por sus hallazgos), un empleado de la empresa le dijo que la empresa no ofrece ninguno. “Sin embargo, después de que completemos el análisis, estaré encantado de intentar configurar algo específicamente para usted en este caso”, dijo el empleado.
Sin embargo, días después, el empleado le dijo a xyzeva que “desafortunadamente, hay un par de cosas que se interponen en el camino”, según otro intercambio de texto visto por TechCrunch.
“En primer lugar, está el método de divulgación. Publicar públicamente que había un problema grave significaba que los posibles atacantes probablemente escanearían nuestros sitios para buscar el problema, lo que aumentó el riesgo para nosotros innecesariamente y está fuera de la norma de cómo se realizan las divulgaciones de vulnerabilidades”, dijo el empleado. “En segundo lugar, la publicación posterior que describía incorrectamente ‘acceso completo a básicamente todo’ y prometía una descripción detallada no indicaba las mejores intenciones para el equipo. Si algo de esto se está malinterpretando, háganmelo saber”.
No es raro que los investigadores de seguridad divulguen sus hallazgos cuando la vulnerabilidad o el problema se han solucionado y ya no corren riesgo.
Al momento de escribir este artículo, el portal donde xyzeva encontró el problema no está disponible. “Esta aplicación está siendo descontinuada”. leer un mensaje en el sitio.
A lo largo de los años, a16z ha invertido en varias empresas conocidas como Airbnb, Coinbase, Instacart, Lyft y Slack. Entre muchos otrosLos fundadores de la firma, Marc Andreesen y Ben Horowitz, han dicho recientemente que apoyan a Donald Trump en las próximas elecciones presidenciales.