Fin juin, un chercheur en sécurité a découvert une vulnérabilité dans une application web utilisée par a16z, l’une des firmes de capital risque les plus puissantes et influentes de la Silicon Valley, qui a exposé certaines données sur les sociétés de son portefeuille. Le bug a depuis été corrigé.
Le Chercheur Sonne l’Alarme sur X
Le 30 juin, une chercheuse en sécurité connue sous le nom de xyzeva a écrit sur X qu’elle cherchait à entrer en contact avec quelqu’un d’a16z, laissant entendre qu’elle avait trouvé un problème de sécurité.
« Contactez-moi, maintenant. C’est grave. Lié à la sécurité », a-t-elle écrit.
Contactée par TechCrunch, xyzeva a déclaré avoir trouvé « un bug vraiment simple » qui « donnait essentiellement accès à tout » sur le portail du portefeuille d’a16z. Plus précisément, elle a dit avoir trouvé des clés API exposées sur le site portfolio.a16z.com. Xyzeva a indiqué que les informations auxquelles elle a pu accéder comprenaient : emails, mots de passe et « détails des entreprises et des employés ».
A16z Minimise l’Impact de la Faille
Dans une déclaration à TechCrunch, Bryan Green, responsable de la sécurité des informations chez a16z, a confirmé que l’entreprise avait corrigé le bug le jour même où xyzeva a écrit son message et contacté l’entreprise, mais a déclaré que le problème n’avait affecté aucune donnée sensible.
« Le 30 juin, a16z a corrigé une mauvaise configuration dans une application web qui est utilisée dans le cas d’utilisation spécifique de la mise à jour d’informations accessibles au public sur notre site web, telles que les logos d’entreprise et les profils de médias sociaux. Le problème a été résolu rapidement et aucune donnée sensible n’a été compromise », a déclaré M. Green.
A16z Refuse un « Bug Bounty » à la Chercheuse
Dans un échange de SMS consulté par TechCrunch, un employé de l’entreprise a indiqué à xyzeva que la firme ne proposait pas de programme de primes aux bugs. « Cependant, une fois l’analyse terminée, je serais très heureux d’essayer de mettre en place quelque chose spécifiquement pour vous dans ce cas », a déclaré l’employé.
Quelques jours plus tard, cependant, l’employé a dit à xyzeva que « malheureusement, il y a deux ou trois choses qui font obstacle », selon un autre échange de textos consulté par TechCrunch.
« Tout d’abord, il y a la méthode de divulgation. Le fait de publier qu’il y avait un problème grave signifiait que des attaquants potentiels scannant probablement nos sites à la recherche du problème, ce qui a augmenté le risque pour nous inutilement et se situe en dehors des normes de la façon dont les divulgations de vulnérabilités sont effectuées », a déclaré l’employé.
Le Site Vulnérable Mis Hors Service
Au moment de la rédaction de cet article, le portail sur lequel xyzeva a trouvé le problème n’est pas disponible. « Cette application est en cours d’abandon », peut-on lire sur le site.
Au fil des ans, a16z a investi dans plusieurs sociétés bien connues comme Airbnb, Coinbase, Instacart, Lyft et Slack, entre autres. Les fondateurs de la firme, Marc Andreessen et Ben Horowitz, ont récemment déclaré qu’ils soutenaient Donald Trump dans les prochaines élections présidentielles.
Les Leçons à Tirer pour les Startups
Cet incident met en lumière l’importance cruciale de la sécurité informatique pour toutes les entreprises, et en particulier pour les startups en phase de croissance :
- Effectuer des audits de sécurité réguliers pour identifier les vulnérabilités
- Mettre en place un programme de primes aux bugs pour inciter les chercheurs en sécurité à signaler les failles de manière responsable
- Former les employés aux bonnes pratiques de sécurité pour éviter les erreurs humaines
En prenant ces mesures proactives, les startups peuvent protéger leurs données sensibles, préserver leur réputation et maintenir la confiance de leurs investisseurs et clients dans un environnement numérique de plus en plus risqué.