因星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。
该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。
严重影响
漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。
JumpCloud是一个Active Directory(活动目录)管理平台,被宣传为Azure AD的替代品。它为客户提供用户管理、Web应用程序单点登录(SSO)访问控制和轻量级目录访问协议(LDAP)服务。
Kumar于10月17日报告了这一漏洞,而在三周后,星巴克作出回应,称该漏洞涉及“大量敏感信息”,可获得漏洞奖励。
星巴克很快就解决了这个问题,Kumar也在10月21日表示,该存储库已被删除,API密钥也被更换。
此次处理漏洞星巴克公司花了较长的时间,这是因为他们需要“确保正确了解问题的严重性,并采取所有可采取的补救措施”。
除了告诉星巴克是从哪个GitHub存储库中找到包含API密钥的文件外,Kumar还提供了相关PoC代码,演示攻击者可以使用该密钥做什么破坏。
除了查询内部系统和用户之外,攻击者还可以控制Amazon Web Services(AWS)帐户,在目标系统上执行命令,添加或删除访问内部系统的用户等。
支付赏金
在和星巴克就补救措施进行商讨后,研究人员获得了4000美元的赏金,这可以说是星巴克重大漏洞的最高奖励了。一般来说,星巴克漏洞的赏金在250美元到375美元之间。
自2016年启动漏洞奖励计划以来,该公司已经处理了834起漏洞报告,光在过去三个月里就处理了369起报告,总共发放了4万美元奖励。
上一个和星巴克有关的重大漏洞是子域名接管缺陷。某一个子域指向了一个已被遗弃的Azure云主机。星巴克为此支付了2000美元奖励。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3730.html 来源:https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/
来源:freebuf.com 2020-01-02 18:02:28 by: 白帽汇
请登录后发表评论
注册