vlambda博客
学习文章列表

星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励

点击“开发者技术前线”,选择“星标🔝”

在看|星标|留言,  真爱


作者 | iso60001

来源 | https://nosec.org/home/detail/3730.html

因星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。

该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。

星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励

严重影响

漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。

JumpCloud是一个Active Directory(活动目录)管理平台,被宣传为Azure AD的替代品。它为客户提供用户管理、Web应用程序单点登录(SSO)访问控制和轻量级目录访问协议(LDAP)服务。

Kumar于10月17日报告了这一漏洞,而在三周后,星巴克作出回应,称该漏洞涉及“大量敏感信息”,可获得漏洞奖励。

星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励

星巴克很快就解决了这个问题,Kumar也在10月21日表示,该存储库已被删除,API密钥也被更换。

此次处理漏洞星巴克公司花了较长的时间,这是因为他们需要“确保正确了解问题的严重性,并采取所有可采取的补救措施”。

除了告诉星巴克是从哪个GitHub存储库中找到包含API密钥的文件外,Kumar还提供了相关PoC代码,演示攻击者可以使用该密钥做什么破坏。

星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励

除了查询内部系统和用户之外,攻击者还可以控制Amazon Web Services(AWS)帐户,在目标系统上执行命令,添加或删除访问内部系统的用户等。

支付赏金

在和星巴克就补救措施进行商讨后,研究人员获得了4000美元的赏金,这可以说是星巴克重大漏洞的最高奖励了。一般来说,星巴克漏洞的赏金在250美元到375美元之间。

自2016年启动漏洞奖励计划以来,该公司已经处理了834起漏洞报告,光在过去三个月里就处理了369起报告,总共发放了4万美元奖励。

上一个和星巴克有关的重大漏洞是子域名接管缺陷。某一个子域指向了一个已被遗弃的Azure云主机。星巴克为此支付了2000美元奖励。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/


END


开发者技术前线 ,汇集技术前线快讯和关注行业趋势,大厂干货,是开发者经历和成长的优秀指南
历史推荐






星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励
星巴克在 GitHub 中泄漏API密钥,发现者获4000美金奖励
好文点个在看吧!