星巴克开发人员在GitHub Public Repo中暴露API密钥
source link: https://www.freebuf.com/news/224348.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
星巴克开发人员的一个失误暴露了一个API密钥,攻击者可以利用该API密钥访问内部系统并篡改授权用户列表。由于可以访问星巴克JumpCloud API的密钥,该漏洞的威胁性评级为“严重”。
影响严重
漏洞猎人 Vinoth Kumar 在公共GitHub存储库中发现了密钥,负责任地通过HackerOne漏洞协调和漏洞赏金平台公开了该密钥。
JumpCloud是被称为Azure AD替代方案的Active Directory管理平台。它提供用户管理、Web应用程序单点登录(SSO)访问控制和轻型目录访问协议(LDAP)服务。
Kumar于10月17日报告了这一漏洞。近三周后,星巴克回应说,该漏洞确实容易导致“重大信息泄露”,并且有资格获得赏金。
Kumar在10月21日指出,存储库已被删除,API密钥已被撤消,星巴克很快地就解决了该问题。
星巴克花了较长的时间做出响应,因为他们需要“确保我们面临问题的严重性,并已采取及时适当的补救措施”。
除了识别GitHub存储库并指定托管API密钥的文件之外,Kumar还提供了PoC代码,演示了攻击者可以如何使用该密钥。攻击者除了列出系统和用户之外,还可以控制亚马逊网络服务(AWS)帐户,在系统上执行命令,添加或删除授权访问内部系统的用户。
支付赏金
星巴克对Kumar采取的补救措施十分满意,之后向他支付了4000美元的赏金,奖励其公开漏洞,这是严重漏洞奖励的最高数额。大多数来自星巴克的赏金一般在250美元至375美元之间。
星巴克自2016年启动漏洞赏金计划以来,总共解决了834个报告,在过去三个月中报告了369个漏洞。为了奖励这些漏洞猎人,星巴克花了40000美元。
今年星巴克的另一个严重漏洞是一个 人为疏忽 ,可能被用来控制公司的子域。问题是子域指向已被放弃的Azure云主机。星巴克为该报告支付了2000美元。
*参考来源: BLEEPINGCOMPUTER ,Sandra1432编译,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK