星巴克开发人员在GitHub Public Repo中暴露API密钥
2020-01-02 12:42:40 Author: www.freebuf.com(查看原文) 阅读量:194 收藏

星巴克开发人员的一个失误暴露了一个API密钥,攻击者可以利用该API密钥访问内部系统并篡改授权用户列表。由于可以访问星巴克JumpCloud API的密钥,该漏洞的威胁性评级为“严重”。

Starbucks.jpg

影响严重

漏洞猎人Vinoth Kumar在公共GitHub存储库中发现了密钥,负责任地通过HackerOne漏洞协调和漏洞赏金平台公开了该密钥。

1111.jpg

JumpCloud是被称为Azure AD替代方案的Active Directory管理平台。它提供用户管理、Web应用程序单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务。

Kumar于10月17日报告了这一漏洞。近三周后,星巴克回应说,该漏洞确实容易导致“重大信息泄露”,并且有资格获得赏金。

Kumar在10月21日指出,存储库已被删除,API密钥已被撤消,星巴克很快地就解决了该问题。

星巴克花了较长的时间做出响应,因为他们需要“确保我们面临问题的严重性,并已采取及时适当的补救措施”。

除了识别GitHub存储库并指定托管API密钥的文件之外,Kumar还提供了PoC代码,演示了攻击者可以如何使用该密钥。攻击者除了列出系统和用户之外,还可以控制亚马逊网络服务(AWS)帐户,在系统上执行命令,添加或删除授权访问内部系统的用户。

支付赏金

星巴克对Kumar采取的补救措施十分满意,之后向他支付了4000美元的赏金,奖励其公开漏洞,这是严重漏洞奖励的最高数额。大多数来自星巴克的赏金一般在250美元至375美元之间。

星巴克自2016年启动漏洞赏金计划以来,总共解决了834个报告,在过去三个月中报告了369个漏洞。为了奖励这些漏洞猎人,星巴克花了40000美元。

今年星巴克的另一个严重漏洞是一个人为疏忽,可能被用来控制公司的子域。问题是子域指向已被放弃的Azure云主机。星巴克为该报告支付了2000美元。

*参考来源:BLEEPINGCOMPUTER,Sandra1432编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/224348.html
如有侵权请联系:admin#unsafe.sh