因星巴克開發人員的一個失誤,某個API的密鑰被暴露在GitHub上,攻擊者可借此通路内部系統并改動授權使用者清單。
該漏洞的嚴重級别被設定為
Critical
嚴重影響
漏洞獵人Vinoth Kumar在一個公開的GitHub存儲庫中發現了這個密鑰,并通過HackerOne漏洞協調和獎勵平台在通過稽核的情況下公開了它。
JumpCloud是一個Active Directory(活動目錄)管理平台,被宣傳為Azure AD的替代品。它為客戶提供使用者管理、Web應用程式單點登入(SSO)通路控制和輕量級目錄通路協定(LDAP)服務。
Kumar于10月17日報告了這一漏洞,而在三周後,星巴克作出回應,稱該漏洞涉及“大量敏感資訊”,可獲得漏洞獎勵。
星巴克很快就解決了這個問題,Kumar也在10月21日表示,該存儲庫已被删除,API密鑰也被更換。
此次處理漏洞星巴克公司花了較長的時間,這是因為他們需要“確定正确了解問題的嚴重性,并采取所有可采取的補救措施”。
除了告訴星巴克是從哪個GitHub存儲庫中找到包含API密鑰的檔案外,Kumar還提供了相關PoC代碼,示範攻擊者可以使用該密鑰做什麼破壞。
除了查詢内部系統和使用者之外,攻擊者還可以控制Amazon Web Services(AWS)帳戶,在目标系統上執行指令,添加或删除通路内部系統的使用者等。
支付賞金
在和星巴克就補救措施進行商讨後,研究人員獲得了4000美元的賞金,這可以說是星巴克重大漏洞的最高獎勵了。一般來說,星巴克漏洞的賞金在250美元到375美元之間。
自2016年啟動漏洞獎勵計劃以來,該公司已經處理了834起漏洞報告,光在過去三個月裡就處理了369起報告,總共發放了4萬美元獎勵。
上一個和星巴克有關的重大漏洞是子域名接管缺陷。某一個子域指向了一個已被遺棄的Azure雲主機。星巴克為此支付了2000美元獎勵。
本文由白帽彙整理并翻譯,不代表白帽彙任何觀點和立場
來源:https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/ 
本文通過OpenWrite的Markdown轉換工具釋出
- 高效程式員的七個習慣
- HttpClient 連接配接池設定不當引發的一次雪崩
- 為什麼程式員要了解業務?