研究人员因在GitHub中发现星巴克的API密钥,获4000美金奖励

iso60001  1799天前

22.jpg

因星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。

该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。

33.png

严重影响

漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。

JumpCloud是一个Active Directory(活动目录)管理平台,被宣传为Azure AD的替代品。它为客户提供用户管理、Web应用程序单点登录(SSO)访问控制和轻量级目录访问协议(LDAP)服务。

Kumar于10月17日报告了这一漏洞,而在三周后,星巴克作出回应,称该漏洞涉及“大量敏感信息”,可获得漏洞奖励。

44.jpg

星巴克很快就解决了这个问题,Kumar也在10月21日表示,该存储库已被删除,API密钥也被更换。

此次处理漏洞星巴克公司花了较长的时间,这是因为他们需要“确保正确了解问题的严重性,并采取所有可采取的补救措施”。

除了告诉星巴克是从哪个GitHub存储库中找到包含API密钥的文件外,Kumar还提供了相关PoC代码,演示攻击者可以使用该密钥做什么破坏。

55.png

除了查询内部系统和用户之外,攻击者还可以控制Amazon Web Services(AWS)帐户,在目标系统上执行命令,添加或删除访问内部系统的用户等。

支付赏金

在和星巴克就补救措施进行商讨后,研究人员获得了4000美元的赏金,这可以说是星巴克重大漏洞的最高奖励了。一般来说,星巴克漏洞的赏金在250美元到375美元之间。

自2016年启动漏洞奖励计划以来,该公司已经处理了834起漏洞报告,光在过去三个月里就处理了369起报告,总共发放了4万美元奖励。

上一个和星巴克有关的重大漏洞是子域名接管缺陷。某一个子域指向了一个已被遗弃的Azure云主机。星巴克为此支付了2000美元奖励。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/

最新评论

昵称
邮箱
提交评论