Hacker News 의견

• AI 제품의 문제라기보다는 k8s 설정의 취약점에 대한 문제임
• SAP가 Wiz의 연구가 클러스터 관리자 권한을 얻기 전에 왜 방해되지 않았는지에 대한 철저한 검토가 필요함
  • SAP가 이 활동에 대한 경고를 받았는지, 제대로 조사했는지 궁금함
  • SAP가 의심스러운 네트워크 활동에 대한 적절한 경고를 제공해야 하는 규정을 따르고 있는지, 이 연구가 그 규정을 충족하지 못함을 보여줄 수 있는지 궁금함
• 2020년부터 사용 중단된 Tiller 인스턴스가 실행 중인 것에 충격을 받음
• 단일 K8s 클러스터에서 강력한 멀티 테넌시 보장을 기대하는 것은 매우 나쁜 상황임
  • 주요 클라우드 서비스들은 고객 간에 VM 경계와 별도의 K8s 클러스터를 사용함
  • Microsoft도 몇 년 전 K8s를 주요 보안 경계로 기대했던 기능 제품에서 비슷한 문제를 겪음
• Wiz를 사용해 본 사람이 있는지 궁금함
  • 기업 소프트웨어 회사로서 가장 빠르게 성장한 사례일 수 있음
  • 1.5년 만에 $100M 달성
  • 3년 말에 $350M 달성
• 네트워크를 무단으로 침투하여 취약점을 찾아 블로그 콘텐츠를 만드는 회사들은 기소되어야 한다고 생각함
  • 이 글은 취약점 공개로 위장한 공격적인 글처럼 들림
  • "협조에 감사드립니다"라는 문구는 약간의 강요처럼 들림
• 회사에서 제품의 연간 펜테스트를 프로덕션 환경에서 실행하도록 설득한 것이 기쁨
  • 특정 제품이나 시스템에 초점을 맞추지만 모든 것이 범위에 포함됨
  • 첫 번째 테스트가 실행 중이며 아직 아무도 불만을 제기하지 않음
• 고객의 계정 데이터가 동일한 고객에게 노출되는 것으로 읽히는지 궁금함
  • 예외는 일부 로그임
• 보안 연구원으로서 텍스트를 픽셀화하여 편집하는 것이 좋지 않은 선택이라는 것을 알았을 것임
  • 관련 링크