星巴克在GitHub中泄漏API密钥，发现者获4000美金奖励

点击上方蓝色“程序猿DD”，选择“设为星标”

回复“资源”获取独家整理的学习资料！

作者 | iso60001

来源 | https://nosec.org/home/detail/3730.html

因星巴克开发人员的一个失误，某个API的密钥被暴露在GitHub上，攻击者可借此访问内部系统并改动授权用户列表。

该漏洞的严重级别被设置为Critical，因为该密钥可让攻击者访问星巴克的JumpCloud API。

严重影响

漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥，并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。

JumpCloud是一个Active Directory（活动目录）管理平台，被宣传为Azure AD的替代品。它为客户提供用户管理、Web应用程序单点登录（SSO）访问控制和轻量级目录访问协议（LDAP）服务。

Kumar于10月17日报告了这一漏洞，而在三周后，星巴克作出回应，称该漏洞涉及“大量敏感信息”，可获得漏洞奖励。

星巴克很快就解决了这个问题，Kumar也在10月21日表示，该存储库已被删除，API密钥也被更换。

此次处理漏洞星巴克公司花了较长的时间，这是因为他们需要“确保正确了解问题的严重性，并采取所有可采取的补救措施”。

除了告诉星巴克是从哪个GitHub存储库中找到包含API密钥的文件外，Kumar还提供了相关PoC代码，演示攻击者可以使用该密钥做什么破坏。

除了查询内部系统和用户之外，攻击者还可以控制Amazon Web Services（AWS）帐户，在目标系统上执行命令，添加或删除访问内部系统的用户等。

支付赏金

在和星巴克就补救措施进行商讨后，研究人员获得了4000美元的赏金，这可以说是星巴克重大漏洞的最高奖励了。一般来说，星巴克漏洞的赏金在250美元到375美元之间。

自2016年启动漏洞奖励计划以来，该公司已经处理了834起漏洞报告，光在过去三个月里就处理了369起报告，总共发放了4万美元奖励。

上一个和星巴克有关的重大漏洞是子域名接管缺陷。某一个子域指向了一个已被遗弃的Azure云主机。星巴克为此支付了2000美元奖励。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/

本文通过OpenWrite的Markdown转换工具发布

关注我，回复“加群”加入各种主题讨论群

高效程序员的七个习惯
HttpClient 连接池设置不当引发的一次雪崩
为什么程序员要了解业务？
Python 2 宣布正式退休，Python 3 时代到来！
8种经常被忽视的SQL错误用法

朕已阅