星巴克开发人员的一个失误暴露了一个API密钥,攻击者可以利用该API密钥访问内部系统并篡改授权用户列表。由于可以访问星巴克JumpCloud API的密钥,该漏洞的威胁性评级为“严重”。
漏洞猎人Vinoth Kumar在公共GitHub存储库中发现了密钥,负责任地通过HackerOne漏洞协调和漏洞赏金平台公开了该密钥。
JumpCloud是被称为Azure AD替代方案的Active Directory管理平台。它提供用户管理、Web应用程序单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务。
Kumar于10月17日报告了这一漏洞。近三周后,星巴克回应说,该漏洞确实容易导致“重大信息泄露”,并且有资格获得赏金。
Kumar在10月21日指出,存储库已被删除,API密钥已被撤消,星巴克很快地就解决了该问题。
星巴克花了较长的时间做出响应,因为他们需要“确保我们面临问题的严重性,并已采取及时适当的补救措施”。
除了识别GitHub存储库并指定托管API密钥的文件之外,Kumar还提供了PoC代码,演示了攻击者可以如何使用该密钥。攻击者除了列出系统和用户之外,还可以控制亚马逊网络服务(AWS)帐户,在系统上执行命令,添加或删除授权访问内部系统的用户。
星巴克对Kumar采取的补救措施十分满意,之后向他支付了4000美元的赏金,奖励其公开漏洞,这是严重漏洞奖励的最高数额。大多数来自星巴克的赏金一般在250美元至375美元之间。
星巴克自2016年启动漏洞赏金计划以来,总共解决了834个报告,在过去三个月中报告了369个漏洞。为了奖励这些漏洞猎人,星巴克花了40000美元。
今年星巴克的另一个严重漏洞是一个人为疏忽,可能被用来控制公司的子域。问题是子域指向已被放弃的Azure云主机。星巴克为该报告支付了2000美元。
*参考来源:BLEEPINGCOMPUTER,Sandra1432编译,转载请注明来自FreeBuf.COM