星巴克開發人員在GitHub Public Repo中暴露API密鑰

2020-01-02 22638人圍觀 ,發現 2 個不明物體 資訊

星巴克開發人員的一個失誤暴露了一個API密鑰,攻擊者可以利用該API密鑰訪問內部系統并篡改授權用戶列表。由于可以訪問星巴克JumpCloud API的密鑰,該漏洞的威脅性評級為“嚴重”。

Starbucks.jpg

影響嚴重

漏洞獵人Vinoth Kumar在公共GitHub存儲庫中發現了密鑰,負責任地通過HackerOne漏洞協調和漏洞賞金平臺公開了該密鑰。

1111.jpg

JumpCloud是被稱為Azure AD替代方案的Active Directory管理平臺。它提供用戶管理、Web應用程序單點登錄(SSO)訪問控制和輕型目錄訪問協議(LDAP)服務。

Kumar于10月17日報告了這一漏洞。近三周后,星巴克回應說,該漏洞確實容易導致“重大信息泄露”,并且有資格獲得賞金。

Kumar在10月21日指出,存儲庫已被刪除,API密鑰已被撤消,星巴克很快地就解決了該問題。

星巴克花了較長的時間做出響應,因為他們需要“確保我們面臨問題的嚴重性,并已采取及時適當的補救措施”。

除了識別GitHub存儲庫并指定托管API密鑰的文件之外,Kumar還提供了PoC代碼,演示了攻擊者可以如何使用該密鑰。攻擊者除了列出系統和用戶之外,還可以控制亞馬遜網絡服務(AWS)帳戶,在系統上執行命令,添加或刪除授權訪問內部系統的用戶。

支付賞金

星巴克對Kumar采取的補救措施十分滿意,之后向他支付了4000美元的賞金,獎勵其公開漏洞,這是嚴重漏洞獎勵的最高數額。大多數來自星巴克的賞金一般在250美元至375美元之間。

星巴克自2016年啟動漏洞賞金計劃以來,總共解決了834個報告,在過去三個月中報告了369個漏洞。為了獎勵這些漏洞獵人,星巴克花了40000美元。

今年星巴克的另一個嚴重漏洞是一個人為疏忽,可能被用來控制公司的子域。問題是子域指向已被放棄的Azure云主機。星巴克為該報告支付了2000美元。

*參考來源:BLEEPINGCOMPUTER,Sandra1432編譯,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 2 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

83 文章數 2 評論數 1 關注者

特別推薦

推薦關注

官方公眾號

聚焦企業安全

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗