不知名的星巴克员工不慎将公司内部网站的API密钥留在GitHub公开文件夹上,差点给了黑客访问公司内部网络,修改授权用户的名单或接管账号的机会。
安全研究人员Vinoth Kumar 10月在GitHub搜索时,发现一个公开的目录文件夹,内置星巴克Jumpcloud平台的API密钥。Jumpcloud是与微软Azure AD竞争的Active Directory及LDAP云计算平台,提供用户管理、Web app单一签入(single sign-on,SSO)访问管控及LDAP(Lightweight Directory Access Protocol)服务。这些数据让任何人都可经由API在系统上执行指令、添加/移除内部系统的授权用户,或接管AWS账号。
发现漏洞后,研究人员立即通报HackerOne漏洞通报及奖励平台。他还示范了简单的概念验证手法可直接列出多个AWS执行实例,以及经由SSO应用程序接管AWS账号。
星巴克接到通报4天后移除了文件夹,并注销了API密钥。星巴克审查后将此漏洞列为“重大信息泄露”,对漏洞修补过程“感到满意”,因此颁发Kumar 4,000美元的奖金。Bleeping Computer报道,星巴克过去发布的抓虫奖金金额约在250到375美元。
去年8月星巴克也曾在一台废弃不用的Azure主机上,留下子域名的DNS pointer未删除,使未来注册该主机的用户可接收该子域名的信息。